SolarWinds noodzakelijk en nuttig
SolarWinds levert onder andere software waarmee remote netwerken en configuraties gecontroleerd en onderhouden kunnen worden. Dit type applicatie bespaart beheerders tijd en geld. Het is voor die groep en anderen ook een noodzakelijke component van de security maatregelen. Tenslotte is SolarWinds niet de enige aanbieder.
Bij alle ophef die nu is ontstaan moet niet vergeten worden dat het ook de concurrentie kan overkomen. De bedoeling van deze post is dan ook niet een bedrijf in de schijnwerpers te zetten. Het gaat om het doorhebben van een complexe keten en het formuleren van maatregelen.
Het probleem van SolarWinds
Bij de productie van een bepaald SolarWinds product is foute code gebruikt. Het gevolg is dat de IT omgevingen van gebruikers van dat pakket toegankelijk is voor derden. Via de toegang kunnen zijn de netwerken infiltreren met weer andere schadelijke software. Ook is het mogelijk dat ze gericht op zoek gaan naar bestanden.
De keten is lek
Het probleem is in het productieproces van SolarWinds ontstaan. De klanten die het betreft hebben zelf ook weer klanten, leveranciers en afnemers. Er is dus weinig fantasie voor nodig om te zien dat hier een lange keten is gecompromitteerd. Er is sprake van een groot lek. En dat doet direct de vraag opkomen: is hier ook sprake van een datalek?
Nogmaals het gaat niet niet om SW een veeg uit de pan te geven. Puur kijkend naar wat er is gebeurt zou dit bij Nederlandse klanten van het bedrijf moeten hebben geleid tot de conclusie dat ze data hebben gelekt?
Hoe ver in de keten moet de vraag gesteld worden. Blijft het beperkt tot de directe klanten van SW, of moeten ook de bedrijven die IT koppelingen met de betreffende SW klanten hebben zich zorgen maken? Het kan geen kwaad daar eens bij stil te staan. Kijk eens naar de eigen IT omgevingen en koppelingen. Zijn daar situaties als bovenstaande mogelijk waarbij een datalek kan ontstaan?
Cyberverzekeringen
Wat ook de moeite loont is na te gaan naar de aansprakelijkheid en verzekeringen. Dat SolarWinds hier een concreet probleem heeft dat buiten de dekking van de eigen verzekeringen valt is duidelijk . Maar hoe zit het met de klanten? Stel een bedrijf maakt gebruik van software dat lek is waardoor de klantgegevens of gegevens van klanten van de eigen klanten in verkeerde handen komen. Gedupeerde klanten (en klant-klanten) kunnen compensatie eisen. Is de afnemers van het lekke software pakket daarvoor verzekert? Is dit iets waar zijn standaard aansprakelijkheidsverzekering of speciale cyberverzekeringen iets over zeggen?
Het is best lastig om daar iets over te vinden. Tot nu toe is er maar een artikel dat de link legt tussen cyberverzekeringen en SolwarWinds. Deze zaak is daarvoor ook te nieuw en complex. Maar dat is ook inherent aan cybercrime – de aanvallers denken en handelen keer op keer anders dan verwacht.
