Het is drie jaar geleden dat het Amerikaanse softwarebedrijf SolarWinds het slachtoffer werd van een van de grootste cyberaanvallen uit de geschiedenis. Bij het incident, dat voor het eerst aan het licht kwam in december 2020, hebben Russische hackers gedurende twee jaar inbreuk gemaakt op het populaire Orion-netwerk en de applicatiemonitoringsoftware van SolarWinds.
Eenmaal binnen in de technische infrastructuur van SolarWinds creëerden en stuurden de cybercriminelen kwaadaardige software-updates naar duizenden bedrijven en organisaties die de Orion-software gebruikten om hun IT-omgevingen te beheren.
Maar liefst 18,000 Orion-gebruikers installeerden onbewust de door malware geteisterde updates, waardoor de hackers toegang kregen tot hun IT-netwerken, computersystemen en gegevens, en zich konden richten op hun klanten en andere belanghebbenden.
De hack had gevolgen voor meerdere Amerikaanse overheidsinstanties, waaronder Homeland Security, State, Treasury en Commerce, en grote bedrijven als Microsoft, Intel, Cisco, Deloitte en FireEye. zoals gerapporteerd door TechTarget. De inbreuk was zo ernstig en verstrekkend dat Microsoft-president Brad Smith beschreven het als “de grootste en meest geavanceerde aanval die de wereld ooit heeft gezien”.
Snel vooruit naar 2023 wordt SolarWinds nog steeds geconfronteerd met de gevolgen van deze recordbrekende cyberaanval. In oktober kondigde de Amerikaanse Securities and Exchange Commission (SEC) aan dat het juridische stappen zou ondernemen tegen SolarWinds, waarbij het technologiebedrijf werd beschuldigd van het misleiden van investeerders over zijn cyberveiligheidspraktijken en -risico's.
Deze hack, in combinatie met de recente aanklachten van de SEC tegen SolarWinds, benadrukt de noodzaak voor bedrijven om de toenemende cybercriminaliteit serieus te nemen door robuuste informatiebeveiligingspraktijken te begrijpen en toe te passen. Het biedt ook waardevolle zakelijke leermogelijkheden, waarvan we er vele in deze blogpost zullen bespreken.
De SEC-kosten begrijpen
Een van de belangrijkste dingen van deze SEC-aanklachten is dat ze niet alleen tegen SolarWinds zijn gericht, maar ook tegen Chief Information Security Officer Timothy G. Brown.
De SEC beweert dat SolarWinds tussen de beursintroductie in oktober 2018 en de aankondiging van een cyberaanval in december 2020 “investeerders heeft bedrogen” door zijn cyberbeveiligingspraktijken te overdrijven en door de kwetsbaarheden op het gebied van cyberbeveiliging waarvan het op de hoogte was te bagatelliseren en niet openbaar te maken.
In een persberichtbeweert de Amerikaanse overheidsinstantie dat SolarWinds investeerders alleen vertelde over “algemene en hypothetische risico's”, ook al waren SolarWinds en Brown zich bewust van “specifieke tekortkomingen in de cyberbeveiligingspraktijken van SolarWinds” en “steeds hogere risico’s”. De SEC beweert dat SolarWinds misleidende publieke verklaringen heeft afgelegd over haar cybersecurity-beleid, wat in tegenspraak is met interne evaluaties.
Een technicus van SolarWinds creëerde en verspreidde bijvoorbeeld een interne presentatie waarin hij waarschuwde dat de externe toegang van het bedrijf niet “zeer veilig” was en dat hackers “in principe alles konden doen zonder dat wij het zouden detecteren totdat het te laat is”. De presentatie, die Brown had gezien, waarschuwde ook voor “grote reputatie- en financiële verliezen” als een hacker misbruik zou maken van deze kwetsbaarheid.
In andere claims tegen SolarWinds door de SEC zou Brown in een presentatie hebben geschreven dat de “huidige staat van veiligheid ons in een zeer kwetsbare staat achterlaat voor onze kritieke activa”. Er wordt ook beweerd dat hij kritieke systeem- en gegevenstoegang en -privileges ‘ongepast’ heeft genoemd in een andere presentatie, onder andere waarin hij naar verluidt intern cyberveiligheidsproblemen had geuit.
De SEC heeft Brown ervan beschuldigd dat hij er niet in is geslaagd “de problemen op te lossen” en deze “voldoende verder aan de orde te stellen binnen het bedrijf”, waardoor SolarWinds niet in staat was “redelijke garanties te bieden dat zijn meest waardevolle activa, waaronder het vlaggenschip Orion-product, voldoende beschermd”. Het land dringt nu aan op “permanente voorlopige voorziening, kwijtschelding met conservatoire rente, civielrechtelijke straffen en een proces-verbaal voor officieren en directeuren tegen Brown”.
Zakelijke lessen
Veel bedrijven kunnen belangrijke lessen eruit halen om hun cybersecuritypositie te verbeteren door de beruchte SolarWinds-hack en de recente SEC-aanklachten te beoordelen.
Misschien wel de belangrijkste les is dat de inbreuk op SolarWinds aantoont dat “zelfs de meest geavanceerde en gevestigde entiteiten niet immuun zijn voor cyberdreigingen”, aldus Sam Peters, CTO van ISMS.online.
Nu cyberdreigingen complexer worden en vaker voorkomen als gevolg van de inbreuk op SolarWinds, moeten bedrijven ervoor zorgen dat ze over de middelen beschikken om deze te identificeren, beoordelen en beheren. Dit zou “voortdurende waakzaamheid, regelmatige beoordelingen en het aannemen van een proactieve cybersecurity-mentaliteit” moeten inhouden, zegt Peters.
De beste manier om nieuwe en opkomende cyberveiligheidsbedreigingen te beheersen is door het volgen van de beste praktijken uit de sector, wettelijke vereisten en erkende raamwerken zoals ISO/IEC 27001 en NIST-kader voor cyberbeveiliging als onderdeel van een “cultuur van veiligheidsbewustzijn”.
Peters legt uit: “Het zijn zakelijke benodigdheden in het huidige ‘digital-first’-landschap. Als technologieleiders moeten we cyberbeveiliging niet als een op zichzelf staande functie zien, maar als een geïntegreerd, fundamenteel aspect van onze algemene bedrijfsstrategie.”
Door raamwerken zoals ISO/IEC 27001 te volgen, moeten bedrijven zich houden aan verschillende technische controles om hun netwerken, systemen en gegevens te beveiligen. Peters legt uit dat ze moeten definiëren, monitoren en beoordelen beheer van gebruikerstoegang, controles en verantwoordelijkheden naast het gebruik van krachtige encryptie- en sleutelbeheerprotocollen. Het nemen van deze stappen is de sleutel tot “het garanderen van de vertrouwelijkheid van gegevens, zelfs tijdens inbreuken”.
Peters raadt bedrijven ook aan regelmatig kwetsbaarheidsbeoordelingen uit te voeren, zodat ze softwarefouten kunnen identificeren en repareren die anders voor hackers een achterdeur naar gevoelige systemen zouden kunnen vormen. Het implementeren van een goed gedocumenteerd beheer van informatiebeveiligingsincidenten Dit proces zou bedrijven ook in staat stellen inbreuken te identificeren, rapporteren en beheren zodra ze zich voordoen.
Het SolarWinds-incident benadrukt niet alleen het belang van het volgen van de beste praktijken en kaders in de sector, maar laat ook zien dat due diligence van leveranciers van cruciaal belang is om cyberaanvallen te beperken. Peters raadt bedrijven aan “software van derden altijd met dezelfde nauwkeurigheid te onderzoeken als interne systemen”.
Luke Dash, CEO van ISMS.online, is van mening dat de belangrijkste les die bedrijven kunnen leren van de SolarWinds-inbreuk is dat cyberbeveiliging “een voortdurende reis is, en geen bestemming”. Hoewel investeren in technologie cybercriminaliteit kan helpen bestrijden, moeten organisaties volgens Dash ook in hun mensen investeren door hen voortdurend te trainen op het gebied van cyberveiligheidsbedreigingen en best practices.
Hij beveelt ook aan een incidentresponsplan op te stellen om je voor te bereiden op toekomstige bedreigingen en om een cultuur op de werkplek te bevorderen die gebaseerd is op open communicatie. Dit zal ervoor zorgen dat “werknemers zich op hun gemak voelen bij het melden van verdachte activiteiten zonder angst voor vergelding”. Dash voegt hieraan toe: “In cybersecurity telt elke waarschuwing. Het is een collectieve inspanning en proactief zijn is de sleutel.”
Karl Lankford, EMEA-directeur systeemtechniek bij Illumio, zegt dat de SolarWinds-hack en de SEC-aanklachten aantonen dat de “CISO-rol een plaats in het executive team verdient”.
“De bredere C-Suite moet ook verantwoordelijk worden gehouden voor goede cyberbeveiligingspraktijken, omdat het vaak dit team is dat de aanbevelingen van een CISO ontkent”, voegt hij eraan toe. “Ik zou graag een verschuiving zien waarbij de CISO de juiste autoriteit en budgetten krijgt toegewezen om effectieve beveiligingscontroles te implementeren, zonder dat hij in elke fase om goedkeuring hoeft te vragen.”
Robin Campbell-Burt, CEO van Code Red, is van mening dat de SolarWinds-hack “licht werpt op de veelzijdige aard van public relations bij cyberveiligheidscrises” en benadrukt het belang van de juiste PR in deze situaties.
Hij vertelt ISMS.online: “Hun reactie op de inbreuk onderstreept de noodzaak van tijdige communicatie in onze snel evoluerende digitale wereld. Volgens de recente aanklacht van de SEC komt deze reactie echter mogelijk niet overeen met de realiteit van de cyberbeveiligingspositie van het bedrijf, en dit soort oneerlijkheid kan uiterst schadelijk zijn voor de reputatie van een merk.”
The Bottom Line
De SolarWinds-hack en de juridische stappen van de SEC tonen aan dat het slecht openbaar maken van inbreuken en het verwaarlozen van cyberbeveiliging zeer kostbaar kunnen zijn voor bedrijven. Nu het online dreigingslandschap zich snel ontwikkelt, moeten organisaties hun cyberbeveiligingspositie voortdurend opnieuw evalueren en versterken om zichzelf en hun klanten en partners te beschermen.
Als onderdeel hiervan kan het belang van het toepassen van best practices zoals multi-factor authenticatie, regelmatige back-ups, het bevorderen van een beveiligingscultuur waarbij alle werknemers betrokken zijn, het volgen van branchekaders en het samenwerken en delen van dreigingsinformatie met branchegenoten niet worden onderschat.
