SolarWinds biedt SEC van repliek

SolarWinds meldt: 'De afgelopen week hebben we het gewaardeerd dat zoveel van onze klanten – samen met stemmen uit de cyberbeveiligings- en IT-gemeenschappen – hun steun hebben uitgesproken voor SolarWinds. Wij delen hun zorgen dat de ondoordachte klacht van de SEC de collectieve veiligheid van onze sector dreigt te schaden.

De rechtszaak van de SEC is fundamenteel gebrekkig – juridisch en feitelijk – en we zijn van plan ons krachtig te verdedigen tegen de aanklachten. Hoewel onze volledige antwoorden via de juridische procedure zullen plaatsvinden, willen we de feiten in een vroeg stadium rechtzetten met betrekking tot enkele van de belangrijkste valse beweringen van de SEC – en de echte feiten delen.

Door transparante communicatie met de sector en onze voortdurende Secure by Design- inspanningen zijn we blij dat we het vertrouwen van onze klanten hebben behouden en tegelijkertijd nieuwe klanten hebben kunnen werven in zowel de publieke als de private sector. De antwoorden op de onderstaande vragen worden gegeven als onderdeel van ons voortdurende streven naar transparantie.

De SEC beweert dat het bedrijf vóór de SUNBURST-cyberaanval niet over adequate cyberbeveiligingscontroles beschikte. Is dat waar?

Nee, wij ontkennen deze beschuldigingen categorisch. Het bedrijf beschikte vóór SUNBURST over passende cyberbeveiligingscontroles. De SEC citeert op misleidende wijze fragmenten van documenten en gesprekken uit hun context om een ​​vals verhaal over onze veiligheidspositie samen te vatten.

Dat is precies de reden waarom wij deze zaak bestrijden: de SEC verdraait de feiten in een poging haar regelgevende voetafdruk op het gebied van cyberbeveiliging uit te breiden. We zijn van plan de feiten te corrigeren en hun buitensporige bereik terug te dringen, omdat de SEC aantoonbaar ongelijk heeft over de feiten en niet over de autoriteit of competentie beschikt om de cyberveiligheid van overheidsbedrijven te reguleren.

Hoe zit het met de beweringen van de SEC dat het bedrijf het NIST-raamwerk niet volgde?

De beschuldigingen van NIST zijn een goed voorbeeld van hoe de SEC onnauwkeurige beweringen doet door de feiten te verdraaien.

De SEC zegt dat SolarWinds ten onrechte beweert het NIST Cybersecurity Framework (CSF) te volgen . Het veronderstelde bewijs voor deze bewering is echter voornamelijk een voorlopige zelfbeoordeling uit 2019 over de vraag of SolarWinds aan een geheel andere reeks normen voldeed : die in NIST Special Publication (SP) 800-53 en FedRAMP. Bovendien gold deze voorlopige zelfbeoordeling slechts voor een kleine subset van SolarWinds-producten, die niet werden beïnvloed door de SUNBURST-cyberaanval.

Of SolarWinds voldeed aan de NIST SP 800-53- of FedRAMP-vereisten heeft niets te maken met de vraag of het de NIST CSF volgde. De SEC mengt appels en peren, wat het gebrek aan expertise op het gebied van cyberbeveiliging onderstreept.

Elders suggereert de klacht van de SEC dat onze NIST CSF-scores voor 2019 in bepaalde categorieën “slecht” waren. Maar onze algemene score in 2019 was een “3” – een sterke score, zoals iedereen die bekend is met NIST-beoordelingen begrijpt. Belangrijker nog is dat de SEC fundamenteel verkeerd begrijpt wat het betekent om het NIST CSF te volgen. De NIST CSF heeft geen minimale scorevereisten . Het is een flexibel beoordelingsinstrument waarmee bedrijven hun cyberbeveiligingsrisico's kunnen evalueren en verbeteringen kunnen plannen. Zoals de klacht van de SEC zelf duidelijk maakt, gebruikte SolarWinds de NIST CSF om zijn cyberveiligheidscontroles te beoordelen en te verbeteren. Dat is precies wat het volgen van de NIST CSF betekent.

Heeft de SEC iets nieuws gevonden over de oorzaak van de Russische SUNBURST-cyberaanval?

Nee. De SEC-klacht geeft niet aan hoe Rusland de SolarWinds-omgeving kon binnendringen. Sterker nog, dat is tot op de dag van vandaag nog steeds onbekend. SUNBURST wordt algemeen beschouwd als een van de meest geavanceerde cyberaanvallen aller tijden, en het is jammer dat de SEC de schuld voor de aanval bij het slachtoffer legt.

Hoe zit het met de bewering van de SEC dat een VPN-kwetsbaarheid heeft bijgedragen aan SUNBURST?

Er was geen ‘kwetsbaarheid’ voor VPN’s. De publieke en private sector gebruiken VPN-systemen ter ondersteuning van het BYOD-beleid (Bring Your Own Device), waarmee werknemers hun eigen apparaten kunnen verbinden met de VPN van het bedrijf met behulp van geldige inloggegevens. Organisaties over de hele wereld waren afhankelijk van VPN-verbindingen om de toegang tot de noodzakelijke systemen te garanderen wanneer werknemers tijdens de pandemie naar huis gingen. Dat wijdverbreide gebruik gaat vandaag de dag nog steeds door, nu werknemers hybride werkmodellen omarmen.

SolarWinds handhaafde gedurende het relevante tijdsbestek controles die bedoeld waren om de risico's van VPN-toegang te beperken (zoals beperkingen op de reikwijdte van de beschikbare toegang tot onbeheerde apparaten). De bewering van de SEC dat het bedrijf geen compenserende controles had, is onjuist.

Heeft SolarWinds informatie over de cyberveiligheidsrisico's of de aanval verborgen gehouden voor de SEC-documenten?

Absoluut niet : de onthullingen van SolarWinds waren zowel vóór als na de aanval accuraat.

Uit onze documenten vóór de aanval bleek duidelijk dat het bedrijf, ondanks de veiligheidscontroles, blootstond aan het risico van een inbreuk, waaronder een door de staat gesponsorde aanval zoals SUNBURST. Deze risico-openbaarmaking was vergelijkbaar met die van toonaangevende Amerikaanse technologiebedrijven. Als onze openbaarmaking van risico's als ontoereikend zou worden beschouwd, zou de openbaarmaking van risico's voor iedereen ontoereikend zijn.

Hoewel de SEC in haar klacht beweert dat SolarWinds meer details over potentiële kwetsbaarheden had moeten vrijgeven, is dat niet het soort informatie dat thuishoort in openbaarmakingen aan investeerders – zoals de SEC zelf eerder heeft erkend (bijvoorbeeld hier op pagina 11 , of hier op pagina 134 ). Hoewel we de verschillende aantijgingen van de SEC over zogenaamde 'kwetsbaarheden' betwisten, is de suggestie in de klacht van de SEC dat bedrijven in essentie roadmaps aan hackers zouden moeten verstrekken in wettelijke documenten onlogisch en gevaarlijk.

SolarWinds maakte de SUNBURST-aanval onmiddellijk bekend, slechts twee dagen nadat ze erover hoorde. We erkenden volledig de ernst van het incident en maakten bekend dat tot wel 18.000 klanten getroffen zouden kunnen worden – ook al overschatte dit de werkelijke impact van de aanval enorm, aangezien het aantal getroffenen ongeveer 100 bleek te zijn. SolarWinds deed aanbevelingen voor mitigatie toen we de aanval bekendmaakten en slechts twee dagen later gevolgd door een softwarepatch voor klanten. Het idee dat SolarWinds informatie over de aanval probeerde te verbergen voor investeerders of klanten is absurd.

SolarWinds reageerde op SUNBURST precies op de manier waarop de Amerikaanse regering dit probeert aan te moedigen . We hebben de aanval snel en transparant bekendgemaakt en uitgebreid samengewerkt met wetshandhavings- en inlichtingendiensten. De veiligheidsgemeenschap heeft onze reactie alom geprezen. De SEC probeert een probleem te creëren dat er niet is.

Waarom geloven cybersecurity-experts dat de rechtszaak van de SEC de veiligheid zal schaden?

De rechtszaak dreigt de veiligheid te schaden door bedrijven onder druk te zetten om gevoelige beveiligingsinformatie openbaar te maken in openbare documenten en door openhartige interne communicatie tussen beveiligingspersoneel te bekoelen.

Als de SEC zijn zin krijgt, zouden bedrijven verplicht worden om gedetailleerde informatie over kwetsbaarheden openbaar te maken in openbare documenten, wat niet nuttig zou zijn voor investeerders, maar wel nuttig zou zijn voor hackers die op zoek zijn naar kwetsbaarheden die ze kunnen misbruiken. Dat is precies de reden dat de SEC bedrijven eerder heeft geadviseerd dat de SEC-regels dergelijke openbaarmakingen niet vereisen. Deze rechtszaak ondermijnt die richtlijnen en laat beursgenoteerde bedrijven in de war over hoeveel ze moeten vrijgeven.

De klacht van de SEC dreigt ook CISO's en ander cyberbeveiligingspersoneel te ontmoedigen om risico's intern openhartig te evalueren en te bespreken, wat nodig is voor voortdurende verbetering door het identificeren van gebieden waar de beveiliging kan worden versterkt. Als beveiligingspersoneel zich voortdurend zorgen moet maken dat hun goedbedoelde woorden en daden in een verkeerd daglicht worden gezet en worden gebruikt als voer voor overheidsaanklachten, zal het resultaat zijn dat goede mensen uit de industrie worden verdreven en dat openhartige communicatie en goede besluitvorming over veiligheid worden belemmerd. problemen.

We hebben van velen in de cyberbeveiligingsgemeenschap gehoord die deze zorgen delen. Het is overduidelijk dat wat de SEC hier doet niet de manier is waarop cyberbeveiligingsregulering zou moeten gebeuren. De complexiteit van de SUNBURST-aanval en de uitdagingen van de bescherming tegen dergelijke bedreigingen verdienen het om te worden bekeken door de ogen van neutrale, ervaren cyberbeveiligingsexperts.'

SolarWinds meldt verder: 'Deze blogpost bevat “toekomstgerichte” verklaringen, die onderworpen zijn aan de safe harbour-bepalingen van de Private Securities Litigation Reform Act van 1995, inclusief verklaringen met betrekking tot de handhavingsactie die is ingediend door de Securities and Exchange Commission tegen SolarWinds met betrekking tot de cyberaanval van 2020 ( het “Cyberincident”) en ons vermogen om ons krachtig te verdedigen tegen de beschuldigingen. De informatie in deze blogpost is gebaseerd op de overtuigingen en veronderstellingen van het management en op informatie die momenteel beschikbaar is voor het management. Toekomstgerichte verklaringen omvatten alle verklaringen die geen historische feiten zijn en kunnen worden geïdentificeerd met termen als ‘streven’, ‘anticiperen’, ‘geloven’, ‘kunnen’, ‘zouden kunnen’, ‘zoeken’, ‘zouden moeten’, ‘voelen’. 'verwachten', 'zullen', 'zouden', 'plannen', 'van plan zijn', 'schatten', 'doorgaan', 'kunnen', of soortgelijke uitdrukkingen en de negatieven van die termen. Toekomstgerichte verklaringen brengen bekende en onbekende risico's, onzekerheden en andere factoren met zich mee die ertoe kunnen leiden dat werkelijke resultaten, prestaties of prestaties wezenlijk verschillen van toekomstige resultaten, prestaties of prestaties die in de toekomstgerichte verklaringen worden uitgedrukt of geïmpliceerd. Factoren die dergelijke verschillen kunnen veroorzaken of daartoe kunnen bijdragen, omvatten, maar zijn niet beperkt tot, risico's die verband houden met het Cyber-incident, inclusief met betrekking tot (a) talrijke financiële, juridische, reputatie- en andere risico's voor ons die verband houden met het Cyber-incident, inclusief risico's die het incident, de reactie van SolarWinds daarop of rechtszaken en onderzoeken met betrekking tot het cyberincident kunnen resulteren in het verlies van zaken als gevolg van de beëindiging of niet-verlenging van overeenkomsten of verminderde aankopen of upgrades van onze producten, reputatieschade die een negatieve invloed heeft op de klant, partner en leveranciersrelaties en het vertrouwen van investeerders, toegenomen personeelsverloop en afleiding van belangrijk en ander personeel, verplichtingen tot schadevergoeding, schadevergoeding voor contractbreuk, boetes voor overtreding van toepasselijke wet- of regelgeving, aanzienlijke kosten voor herstel en het ontstaan ​​van andere aansprakelijkheden, en daarmee samenhangende risico's op de impact van dergelijke kosten en aansprakelijkheden die voortvloeien uit de uitputting van onze verzekeringsdekking met betrekking tot het Cyber-incident, (b) proces- en onderzoeksrisico's met betrekking tot het Cyber-incident, inclusief als gevolg van de civiele klacht ingediend door de Securities and Exchange Commissie tegen ons en onze huidige Chief Information Security Officer met betrekking tot de eerder bekendgemaakte Wells Notices, waaronder dat we mogelijk aanzienlijke kosten moeten maken bij de verdediging van onszelf en dat we daar mogelijk niet in slagen, resulterend in blootstelling aan mogelijke straffen, vonnissen, boetes, schikkingsgerelateerde kosten en boetes en andere kosten en aansprakelijkheden die daarmee verband houden, en (c) de mogelijkheid dat onze stappen om onze interne omgeving te beveiligen/