Een Amerikaanse rechter heeft de meeste aanklachten van beurswaakhond SEC tegen softwarebedrijf SolarWinds verworpen. De SEC had SolarWinds en diens Chief Information Security Officer (CISO) aangeklaagd wegens misleiding en fraude met betrekking tot de cybersecurity van het softwarebedrijf. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd.

De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Bij een select deel van deze klanten werden via de geïnstalleerde besmette updates verdere aanvallen uitgevoerd. SolarWinds had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd.

Volgens de SEC heeft SolarWinds sinds de beursgang investeerders bedrogen door de cybersecurity van het bedrijf te overdrijven en bekende risico's te bagatelliseren of niet te melden. SolarWinds informeerde investeerders over algemene en hypothetische risico's, terwijl het bedrijf en de CISO van specifiek tekortkomingen in de cybersecurity van SolarWinds afwisten, alsmede de toenemende risico's waar het bedrijf op dat moment mee te maken had.

Zo stelde SolarWinds in openbare verklaringen dat de cybersecurity in orde was, terwijl uit interne assessments bleek dat dit niet het geval was. Zo waarschuwde een engineer van het bedrijf in 2018 dat de remote access setup van SolarWinds 'niet erg veilig' was en dat als iemand hier misbruik van zou maken, die van alles zou kunnen doen en SolarWinds het pas zou ontdekken als het te laat was. De CISO stelde in 2018 en 2019 dat de cybersecurity van de belangrijkste assets het bedrijf in een zeer kwetsbare positie plaatse en dat toegang en rechten tot belangrijke systemen en data niet goed geregeld waren.

Volgens de rechter is er geen sprake van misleiding. Antifraudewetgeving vereist niet dat risicowaarschuwingen 'maximaal gespecificeerd' zijn. Daarnaast had SolarWinds aangegeven dat het niet verwacht kan worden dat het elke cyberaanval voorkomt en is het bedrijf niet verplicht om individuele incidenten te rapporteren. De SEC heeft alleen autoriteit over financiële controls, niet over andere interne controls, zoals die op cybersecurity betrekking hebben. De beurswaakhond wilde dat ook naar zich toetrekken, aldus The Washington Post.

De rechter gaf de SEC wel gelijk dat de beveiliging van SolarWinds te wensen overliet. Het softwarebedrijf had op de eigen website gemeld dat het over geavanceerde cybersecurity beschikte en 'best practices' volgde. "In werkelijkheid voldeed het bedrijf zelfs niet aan de absolute minimumvereisten voor zakelijke cybergezondheid", aldus de rechter. "De wachtwoorden, waaronder voor belangrijke producten, waren aantoonbaar zwak en het bedrijf gaf te veel medewerkers onbeperkte beheerderstoegang en -rechten, wat de deur wagenwijd voor aanvallers openzette."

Het is de eerste keer dat de SEC een bedrijf wegens een dergelijk incident aanklaagde. Volgens Amerikaanse media is de uitspraak van de rechter een verlies voor de beurswaakhond en overwinning voor SolarWinds.