De Amerikaanse beurswaakhond SEC heeft SolarWinds en diens Chief Information Security Officer (CISO) aangeklaagd wegens misleiding en fraude met betrekking tot de cybersecurity van het softwarebedrijf. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd.

De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Bij een select deel van deze klanten werden via de geïnstalleerde besmette updates verdere aanvallen uitgevoerd. SolarWinds had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd.

Volgens de SEC heeft SolarWinds sinds de beursgang investeerders bedrogen door de cybersecurity van het bedrijf te overdrijven en bekende risico's te bagatelliseren of niet te melden. SolarWinds informeerde investeerders over algemene en hypothetische risico's, terwijl het bedrijf en de CISO van specifiek tekortkomingen in de cybersecurity van SolarWinds afwisten, alsmede de toenemende risico's waar het bedrijf op dat moment mee te maken had.

Zo stelde SolarWinds in openbare verklaringen dat de cybersecurity in orde was, terwijl uit interne assessments bleek dat dit niet het geval was. Zo waarschuwde een engineer van het bedrijf in 2018 dat de remote access setup van SolarWinds 'niet erg veilig' was en dat als iemand hier misbruik van zou maken, die van alles zou kunnen doen en SolarWinds het pas zou ontdekken als het te laat was. De CISO stelde in 2018 en 2019 dat de cybersecurity van de belangrijkste assets het bedrijf in een zeer kwetsbare positie plaatse en dat toegang en rechten tot belangrijke systemen en data niet goed geregeld waren.

Verder blijkt uit communicatie tussen de CISO en medewerkers dat er vragen waren over de mogelijkheid van SolarWinds om belangrijke systemen tegen cyberaanvallen te beschermen. Ook blijkt uit interne documenten van september 2020 dat de gevonden beveiligingsproblemen in die maand groter waren dan de engineers van het bedrijf aankonden. Volgens de SEC wisten SolarWinds en de CISO van de kwetsbaarheden en werden die niet tijdig verholpen. Daardoor kon het bedrijf geen garanties geven dat de belangrijkste assets, waaronder de Orion-software, voldoende beschermd waren.

Nadat SolarWinds de aanval in december 2020 bekendmaakte was de beurskoers aan het eind van de maand met 35 procent gedaald. Ook stelt de beurswaakhond dat SolarWinds geen volledige melding van de aanval heeft gedaan. "In plaats van de kwetsbaarheden te verhelpen, waren SolarWinds en de CISO betrokken bij een campagne om een verkeerd beeld van de cybersecurity te geven", zo stelt de SEC.

De beurswaakhond stelt dat het met deze actie SolarWinds en de CISO niet alleen aanklaagt wegens het misleiden van investeerders en het niet beschermen van de 'kroonjuwelen', maar ook een boodschap aan bedrijven geeft om hun omgevingen goed te beveiligen en eerlijk tegenover investeerders te zijn over bekende problemen.