Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.
Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.
Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.
En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat
in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:
Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.
In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.
Arnoud
Bij aandeelhouders komt daar ook nog bij dat dat eigenlijk de eigenaars zijn, die de bedrijfsleiding konden controleren en aansturen. Zij hebben dus, naar we mogen aannemen willens en wetens, een onwenselijke situatie mogelijk gemaakt of in stand gehouden. Zelf niet goed genoeg opgelet.
Aandeelhouders mogen wel klagen over fouten van de bedrijfsleiding, maar zouden toch wel een actieve misleiding moeten kunnen bewijzen, niet alleen een achteraf gesproken ongelukkige keuze op het spectrum veiligheid-kosten.
Ik zou dan ook graag mogelijkheden willen zien om aandeelhouders aansprakelijk te stellen voor ongewenste externaliteiten die de activiteiten van de bedrijven die zij bezitten veroorzaken. Zo zouden we Shell-aandeelhouders moeten kunnen aanspreken voor de gigantische mileuschade die CO2 uitstoot veroorzaakt, en dat naar ratio van hun aandeel. Samen met een aantal aspecten uit het falliessementsrecht is dit gebrek aan aandeelhoudersaansprakelijkheid een van de grootste oorzaken dat mensen nog steeds in staat zijn de gevolgen van schadelijk handelen op derden af te wentelen, en een van de inherent onrechtvaardige aspecten van de manier waarop we het huidige marktsysteem hebben vormgegeven.
Zijn we het er dan toch wel over eens dat dit een grove nalatigheid van de CISO was, en niet dom toeval of een ietwat ongelukkige keuze die de goede mens gemaakt heeft?
Eens?: Nee.
De feiten zoals Arnoud die noemt zijn spectaculair, maar hij geeft ook al aan :’als het waar is’. Dat wordt dus betwist door het bedrijf, zie de eerste link in Arnouds stukje.
Zoals ik het lees (maar het kan zijn dat ik het verkeerd begrijp) beweert het bedrijf dat het niet waar is, en secundair dat het een updateserver voor hulpsoftware van derden was, waarlangs de hack niet gepleegd is.
Euh, waar ik zei “dat dit” bedoelde ik “dat dit, als het waar is,” voor de zekerheid een joker, stop de tijd
Gevoelsmatig zou je dan inderdaad zeggen: grove nalatigheid.
Maar in de door Arnoud aangehaalde linked-in discussie referereert iemand aan de rol van de CISO volgens het Nationaal Cyber Security Centrum (toch niet de minsten, geef toe!).
Blijkbaar (ook tot mijn grote verrassing) is de CISO niet verantwoordelijk voor de kwaliteit van de beveilinging. De rollen van de CISO zijn (ik citeer): – Adviseren: Antwoord geven op vragen over informatiebeveiliging binnen de organisatie; – Coördineren: Verantwoordelijkheid over specifieke acties op het gebied van informatiebeveiliging, zoals bijvoorbeeld het beheren van het ISMS, het begeleiden van risicoanalyses, penetratietesten of awareness-campagnes en het bijhouden van een register voor beveiligingsincidenten; en – Controleren: Nagaan of de organisatie zich houdt aan de regels over informatiebeveiliging die door de directie zijn opgesteld en de directie hierover informeren.
Nergens iets over verantwoordelijkheid voor de kwaliteit van de beveiliging!
Wanneer is iemand eigenlijk een bestuurder? En waarom is een CISO een bestuurder? Is de CISO in dit geval ook groot-aandeelhouder? Of doet dat er niet toe. Het is voor mij onduidelijk waar de scheidslijn is tussen een bestuurder en gewoon een mooie functie met leuke auto van de zaak, zoals soms bij een CTO. Want het lijkt me zeer onwenselijk om persoonlijk aangesproken te worden omdat je bij een promotie een ‘c’ in je titel hebt gekregen, terwijl je eigenlijk gewoon loonslaaf bent en de baas nog alles bepaalt.
Daar valt zeker wat voor te zeggen. Tegelijkertijd, die C is natuurlijk wel bedoeld om eindverantwoordelijkheid aan te geven. Dus je wekt toch wel de indruk er verantwoordelijk voor te zijn. Maar het klopt, als je geen bestuurder bent (maar gewoon werknemer) dan kun je natuurlijk niet bestuurdersaansprakelijk zijn. Ook niet als je titel “De baas die eindaansprakelijk is” is.
IHOA: CISO: https://nl.wikipedia.org/wiki/ChiefInformationSecurity_Officer
Terecht? Hoger management wordt toch juist zo duur betaald omdat ze zulke grote verantwoordelijkheden hebben?
Mja. Het is een relatief nieuwe functie, die ook nog eens behoorlijk ondankbaar is omdat je allemaal mensen moet vertellen dat ze het niet goed doen, en dat ze nu heel streng en klantonvriendelijk moeten gaan werken. Eens dat het een C-functie is, maar Chief Mopperkont Wachtwoorden zijn voelt minder leuk dan Chief Marketing & Borrels zeg maar.
Die grote verantwoordelijkheden zijn een smoesje, ze worden zo riant beloond, omdat ze in het “old-boys network” zitten dat over de beloningen gaat, en die elkaar daarbij graag vooruit helpen. Voor de rest is in het beloningsbeleid zo’n beetje alle rationaliteit verloren gegaan.
Toen de SolarWinds hack bekend werd, klommen er een enorm aantal trollen in de pen, om breed het idee te geven dat de hack erg simpel was, en door iedereen uitgevoerd zou kunnen zijn. Dat je voor Solarwinds123 wachtwoord geen echte hacker hoeft te zijn. Dat Solarwinds slecht beschermd zou zijn en haar security niet op orde had. Dit zie ik een beetje terug in dit artikel.
Echter:
Geen enkel bedrijf kan de volle attentie van een militaire inlichtingendienst weerstaan. Had net zo goed zonder wachtwoorden kunnen werken. Er is simpelweg geen veiligheidsbeleid of protocol dat volledig effectief is tegen zulke actoren.
Beetje als de CTO persoonlijk aansprakelijk stellen, als iemand van de financiele administratie een bedrag overmaakt naar criminelen. Ontslaan? Prima. Protocollen aanscherpen. Prima. Maar persoonlijk aansprakelijk stellen? Dat gaat mij te ver. Dan krijg je ook situaties zoals in Amerika, waar dokters liever geen mensen helpen die stikken, omdat ze dan hun baan kunnen verliezen.
De CISO bij bedrijven in de VS is anders dan in Nederland. In de VS is het echt een Chief functie, met een eigen team, waarbij vaak ook nog het beheer en ontwikkeling van de security omgevingen (Firewalls, IDS/IPS, IAM etc) onder verantwoordelijkheid valt van de CISO. In Nederland is de CISO vaak “maar” een adviseur van het bestuur, en draagt niet echt verantwoordelijkheid, behalve dat hij/zij over de risico’s moet rapporteren aan het bestuur. De “schuld” ligt (in NL, imho) veel vaker bij de IT organisatie die weerstand geeft bij het opvolgen van de adviezen van een CISO. “Te duur, te veel werk, geen capaciteit” en meer van dat soort excuses.