SolarWinds-rechtszaak opgeschort: CISO's kunnen opgelucht ademhalen

In dit artikel:

De Amerikaanse SEC heeft haar civiele rechtszaak tegen SolarWinds en de bedrijfs-CISO Timothy G. Brown laten vallen. De actie, die in oktober 2023 werd aangespannen en in juli 2024 grotendeels door een hof in New York werd verworpen, zou Brown persoonlijk verantwoordelijk houden voor vermeende fraude en ernstige tekortkomingen in interne controles die hebben bijgedragen aan de SUNBURST-supplychainhack. Die aanval, uitgevoerd door Russische inlichtingendiensten via een backdoor in het Orion-netwerkmonitoringsysteem, trof zo’n 18.000 organisaties.

Partijen — de SEC, SolarWinds en Brown — hebben gezamenlijk verzocht de zaak te staken, waardoor er geen definitieve gerechtelijke uitspraak komt over Browns persoonlijke aansprakelijkheid. Daarmee ontbreekt voorlopig het precedent dat zou verduidelijken in hoeverre CISO’s persoonlijk juridisch aansprakelijk kunnen worden gesteld voor grootschalige security-fouten. SolarWinds heeft aangegeven dat men hoopt dat de uitkomst de onrust onder beveiligingschefs vermindert.

De zaak illustreert twee dingen: toezichthouders zijn bereid om individuen aan te pakken, maar concrete juridische kaders voor CISO-verantwoordelijkheid zijn nog onzeker. Tegelijkertijd maken de groeiende complexiteit van software-supplychains en opkomende technieken zoals AI het beveiligen van infrastructuur steeds lastiger. Voor CISO’s blijft het dus onstuimig rechts- en securityland: verantwoordelijkheid wordt verwacht, maar de grenzen van persoonlijke aansprakelijkheid zijn nog niet definitief vastgesteld.