Communicatie helpt
In geval van een incident helpt goede communicatie verdere onrust te voorkomen. Die onrust kan weer bijdragen tot vervolgschade. Dus alleen al daarom is het goed niet te zwijgen. Dat geldt voor zowel incidenten in de fysieke wereld als in het online domein.
Het artikel van SolarWinds zou wat dat betreft dus positief kunnen zijn. De CEO legt immers op het eerste gezicht uit wat het onderzoek tot nu toe heeft opgeleverd en wie dat uitvoeren. Daarnaast wordt er melding gemaakt van nieuwe procedures en ideeën voor de toekomst.
Om tenminste twee redenen gaat dat in dit geval niet werken. Dat komt niet door de melding dat de criminelen al vanaf 2019 in zijn netwerk zaten en dat daarbij de opmerking wordt gemaakt “it’s not uncommon for threat actors to be in target environments for several months to years”. Zoiets maakt weinig indruk.
Mail gelekt
Meer indruk, negatief wel te verstaan is dat Ramakrishna schrijft dat de criminelen mails in handen hebben met de namen en andere data van (ex-) personeel en klanten. Hier staat dus dat of de mail back-ups dan wel de live mailboxen zijn gelekt. Hij maakt namelijk geen melding dat het hier “alleen” om het ticket systeem zou gaan. Als de mail is gelekt dan kan zeker niet worden uitgesloten dat er meer dan de PPI van (ex-) personeel en klanten is gelekt. Onder de AVG en de CCPA is dat belangrijk.
Zero-day excuus
Een andere reden waarom het verhaal van Ramakrishna niets oplost is op het eerste gezicht juist wel positief. Hij sluit expliciet uit dat er sprake zou zijn van een bekende ongepatchte kwetsbaarheid als oorzaak. Maar helaas worden dan drie andere mogelijke oorzaken genoemd. De eerste daarvan komt iets te vaak voor in slechte communicatie: “Initial access most likely occurred through: a zero-day vulnerability in a third-party application or device; a brute-force attack such as a password spray attack; or social engineering, such as a targeted phishing attack.”
Beleggersnieuws
Het hele verhaal over de mogelijke oorzaak of oorzaken is daarmee niet meer geloofwaardig. Of SolarWinds weet het echt nog niet of wil het niet zeggen. Wat is dan de reden van deze communicatie?
Dat staat onderaan de blogpost duidelijk vermeld voor iedereen die bekend is met de Amerikaanse beursregels. Het hele verhaal van SolarWinds is niets anders dan een ad-hoc melding bestemd voor beleggers. Een kwart van het aantal woorden van het artikel heeft betrekking op het uitleggen hoe zij deze informatie moeten lezen. Dit is dus gewoon beleggersnieuws van SolarWinds in de vorm van een blogpost. Niet van de ceo, maar door een legertje juristen en pr medewerkers geschreven om verdere schade te voorkomen.
