In de Verenigde Staten overweegt de SEC juridische stappen tegen de CISO (Chief Information Security Officer) van Solarwinds. Dit zou betekenen dat de CEO niet langer alleen verantwoordelijk is voor een cyberaanval. Een specifiek geval dat tot nadenken stemt

Is een CISO net zo aansprakelijk als een CEO in het geval van een rechtszaak? In de context van de cyberaanval van 2019 zouden de CFO en het hoofd IT-beveiliging van Solarwinds vervolgd kunnen worden door de beurstoezichthouder. Een ongekende positie die zeker voor opschudding zal zorgen in de cyberbeveiligingsgemeenschap.

Ter herinnering: in 2019 werd de IT-infrastructuur van SolarWinds geïnfiltreerd door Russische spionnen die illegale netwerktoegang gebruikten om de servers van de leverancier te compromitteren. De hackers brachten een achterdeur aan in de Orion-monitoringsoftware van SolarWinds en leverden deze “updates” aan klanten van SolarWinds. Zodra de kwaadaardige code bij eindgebruikers was geïnstalleerd, kregen de spionnen toegang tot honderden organisaties van klanten van SolarWinds. Het beveiligingslek werd in december 2020 ontdekt door Mandiant.

In het tijdperk van NIS2…

De vraag blijft: is een CISO net zo aansprakelijk als een CEO in het geval van een rechtszaak? Deze SEC-kennisgeving gericht tegen de CISO zou een primeur zijn. Het is een ongebruikelijke beslissing die de aansprakelijkheid van deze professionals vergroot in het geval van een incident.

Voorlopig kunnen we het hebben over een speciaal geval. Niettemin. In Europa, in het tijdperk van NIS2, geeft deze kwestie zeker stof tot nadenken. Het eerste waar we aan denken is het niet of niet tijdig bekendmaken van belangrijke informatie, zoals het niet of niet tijdig melden van de ernst van een incident. Zelfs als dit niet betekent dat de CISO wordt aangeklaagd, zou het een nieuwe stap zijn. Het betekent opnieuw dat de CISO vaker ter verantwoording kan worden geroepen voor de beslissingen die hij heeft genomen… of niet heeft genomen.

Is dit gerechtvaardigd? Kan de verantwoordelijkheid in steeds meer wereldwijde organisaties alleen bij de CISO worden gelegd? Dat zou betekenen dat we voorbijgaan aan het feit dat bedrijven, om cyberbeveiliging effectief te beheren, een gelaagde aanpak hanteren waarbij verschillende spelers en afdelingen betrokken zijn. Er is met andere woorden sprake van een collectieve verantwoordelijkheid.

Bovendien is het moeilijk voor individuen of bedrijven om alle cyberaanvallen te voorkomen, gezien de geavanceerde technieken en het snel veranderende bedreigingslandschap. Wat kun je doen tegen een aanval door een staat met extreem krachtige middelen?

Nalatigheid?

Dit is precies het verweer van SolarWinds dat ‘Sunburst’, de naam die het bedrijf gaf aan de inbreuk, “een zeer geraffineerde en onvoorspelbare aanval was die, volgens de Amerikaanse overheid, werd uitgevoerd door een wereldwijde supermacht met technieken die cyberbeveiligingsexperts nog nooit eerder hadden gezien“. SolarWinds wijst er ook op dat juridische stappen tegen het bedrijf en zijn werknemers een “chilling effect” kunnen hebben op het onthullen van kwetsbaarheden. “De enige manier om geraffineerde en wijdverspreide door de staat gesteunde aanvallen zoals Sunburst te voorkomen, is door middel van publiek-private samenwerking met de overheid“, aldus het bedrijf.

In de tussentijd kan de SEC proberen nalatigheid aan te tonen, bijvoorbeeld als de CISO geen adequate beveiligingsmaatregelen heeft geïmplementeerd, beleidsregels, richtlijnen en praktijken heeft genegeerd of bekende kwetsbaarheden heeft genegeerd. Aan de andere kant zijn de inbreuken bij SolarWinds, net als de aanval bij Colonial Pipeline, systemische en endemische aanvallen die niet alleen individuele bedrijven treffen, maar hele sectoren. Daar draait het allemaal om bij NIS2!

Beleggers beschermen

Het is duidelijk dat de SEC steeds gevoeliger wordt voor het onderwerp. Vorig jaar heeft de SEC de omvang van haar Crypto Assets and Cyber unit bijna verdubbeld door 20 nieuwe functies toe te voegen, waarmee het aantal medewerkers op 50 kwam. Het werk van de eenheid is gericht op het beschermen van beleggers die beïnvloed zouden kunnen worden door cryptomarkten of cyberdreigingen.

De SEC heeft ook wijzigingen voorgesteld in haar cyberbeveiligingsregels voor openbare bedrijven. Deze zouden bedrijven verplichten om periodiek informatie openbaar te maken over hun beleid en procedures met betrekking tot de identificatie en het beheer van risico’s op het gebied van cyberbeveiliging. Bedrijven zouden ook updates moeten geven over cyberbeveiligingsincidenten die ze hebben meegemaakt.