SolarWinds

Weer een SolarWinds primeur: CISO voor de rechtbank – als gedaagde

De hack van SolarWinds is een perfecte gelegenheid via de rechtbank boven tafel te krijgen wat er mis is gegaan. In Amerika zijn er al meerdere zaken aangespannen door boze beleggers. Aan die lijst is er nu een toegevoegd waarbij de CEO en de CISO zijn gedagvaard.

Gruwel zegt de een ver het bericht dat voor het eerst gericht een CISO wordt verweten te zijn tekortgeschoten. Dat is een logische ontwikkeling zegt een ander.

SolareWinds als steppingstone

Over de hack van SolarWinds is al het nodige geschreven. Het bedrijf is over een betrekkelijk lange periode onder vuur genomen, zonder dat het opviel. De aanvallers waren dan ook niet uit op het kapotmaken van SolarWinds. Het diende “slechts” als steppingstone om overheidsdiensten te kunnen bespioneren en meer.

Zwakke plekken

Na de hack bekend werd duurde het niet lang of de zwakke plekken werden bekend. Iedereen met enige security kennis schudde daar al het hoofd over. Een andere groep geïnteresseerden zag vooral dat het bedrijf meer aan marketing deed, terwijl de uitgaven voor security minder hard toenamen. Voor die groep was duidelijk dat met maximaliseren van de winst en het klaarstomen voor een bedrijfssplitsing met nieuwe beursgang veel maar aandacht kreeg.

Splitsing

Die splitsing is doorgegaan. Juist door de hack was de noodzaak daarvoor nog groter. Het hoofdmerk SolarWinds is immers beschadigd. Het op afstand zetten van de MSP business moet er voor zorgen dat die klantgroep niet wordt meegetrokken in de gevolgen van rechtszaken.

Rechtszaak CISO

Wat die rechtszaken gaan komen en het worden er ook meer. Met de aankondiging dat nu ook de CEO en de CISO gedagvaard worden is een nieuwe mijlpaal bereikt. Een CEO voor de rechtbank slepen, dat gebeurt in Amerika wel vaker. Ook in Europa kan dat voorkomen. Maar nog nergens is – nota bene door aandeelhouders – de CISO gedagvaard.

Verwijt – falen

Het verwijt dat deze twee C-kopstukken wordt gemaakt ligt voor de hand. Falen in het uitoefenen van de taken. Of de zaak leidt tot een schikking of toch tot een procedure zal nog moeten blijken. Wat nu wel al duidelijk is, is dat de rol van een CISO wel eens kan gaan veranderen. Tot nu toe zien we in Amerika (maar ook elders) toch iets te vaak een CISO worden benoemd na een incident. Dat moet bewijzen dat men nu echt aandacht gaat besteden aan security.

Wat gaan de CISOs nu doen?

Maar er zijn ook tal van bedrijven die allang een CISO hebben. Die moet nu zijn of haar knopen gaan tellen. Ben ik in staat echt in te grijpen ter voorkoming van incidenten? Ben ik überhaupt wel verzekerd voor schadeclaims. Wie weet dat links en rechts een CISO er voor kiest zijn / haar carrière elders te continueren. Net als in het geval van SolarWinds bekend worden als CISO door het verschijnen voor de rechtbank is immers geen aantrekkelijk scenario.