Eski Uber Güvenlik Baş Sorumlusu Joseph Sullivan'ın mahkumiyeti, bilgi güvenliği şeflerinin (CISO'lar) ve güvenlik topluluğunun ileriye dönük ağ ihlallerini nasıl ele aldığı konusunda tüyler ürpertici bir yeniden değerlendirme oluşturabilir.

5 Ekim'de bir San Francisco federal jürisi, Sullivan'ı ABD makamlarına Uber'in veritabanlarının 2016 hack'i hakkında bilgi vermediği için mahkum etti. Yargıç William H. Orrick, ceza için bir tarih belirlemedi.

Sullivan'ın avukatı David Angeli, kararın açıklanmasından sonra müvekkilinin tek odak noktasının insanların kişisel dijital verilerinin güvenliğini sağlamak olduğunu söyledi.

Federal savcılar, davanın şirketlere ağ ihlallerini ele alırken federal düzenlemelere nasıl uydukları konusunda bir uyarı görevi görmesi gerektiğini kaydetti.

Yetkililer, Sullivan'ı veri ihlalini ABD düzenleyicilerinden ve Federal Ticaret Komisyonu'ndan gizlemeye çalışmakla suçladı ve eylemlerinin bilgisayar korsanlarının yakalanmasını önlemeye çalıştığını ekledi.

O sırada FTC, 2014'teki bir hack'in ardından Uber'i zaten araştırıyordu. İki yıl sonra Uber'in ağına yapılan tekrar hack, bilgisayar korsanlarının Sullivan'a büyük miktarda veri çaldıkları konusunda e-posta göndermesini içeriyordu. ABD Adalet Bakanlığı'na göre, Uber fidyelerini ödediği takdirde verileri silme sözü verdiler.

Mahkumiyet, CISO topluluğu aracılığıyla şimdiden şok dalgaları gönderen önemli bir emsaldir. Kitle kaynaklı bir siber güvenlik platformu olan Bugcrowd'un kurucusu ve CTO'su Casey Ellis, dinamik bir politika, yasal ve saldırgan ortamında bir CISO olmanın içerdiği kişisel sorumluluğu vurgulamaktadır.

“Amerika Birleşik Devletleri'nde gizlilik korumaları ve kullanıcı verilerinin işlenmesi konusunda federal düzeyde daha net bir politika için yalvarıyor ve burada alınan reaktif yaklaşımdan ziyade güvenlik açığı bilgilerinin ele alınmasına yönelik proaktif bir yaklaşımın kilit bir bileşen olduğu gerçeğini vurguluyor. kuruluşlar, güvenlik ekipleri ve hissedarları için esneklik” dedi TechNewsWorld'e.

Zahmetli Ayrıntılar
Büyüyen bir eğilim, fidye yazılımlarının kurbanı olan şirketlerin bilgisayar korsanlarıyla pazarlık yapmalarıdır. Ancak duruşma söylemi, medya hesaplarına göre savcıların şirketlere “Doğru olanı yapmalarını” hatırlattığını gösterdi.

Yayınlanan deneme hesaplarına göre Sullivan'ın personeli kapsamlı veri hırsızlığını doğruladı. 57 milyon Uber kullanıcısının çalınan kayıtlarını ve 600.000 ehliyet numarasını içeriyordu.

Adalet Bakanlığı, Sullivan'ın bilgisayar korsanlarının anlaşmasını Bitcoin olarak 100.000 ABD Doları ödenmesini istediğini bildirdi. Bu anlaşma, bilgisayar korsanlarının, saldırıyı kamunun bilgisinden uzak tutmak için bir ifşa etmeme anlaşması imzalamasını içeriyordu. Uber'in ödemenin gerçek niteliğini bir hata ödülü olarak gizlediği iddia ediliyor.

Dijital risk yönetimi çözümleri sağlayıcısı Digital Shadows'un bilgi güvenliği şefi ve strateji başkan yardımcısı Rick Holland, davanın kanıtlarına yalnızca jürinin erişebildiğini, bu nedenle konunun belirli ayrıntılarını ahkam kesmenin verimsiz olduğunu belirtti.

“Çıkarılacak bazı genel sonuçlar var. Holland TechNewsWorld'e verdiği demeçte, bu davanın istenmeyen sonuçlarından endişe duyuyorum. "CISO'ların zaten zorlu bir işi var ve davanın sonucu CISO'nun günah keçisi yapma riskini artırıyor."

Kritik Cevapsız Sorular
Holland'ın endişeleri arasında, bu davanın sonucunun CISO rolünün potansiyel kişisel sorumluluğunu üstlenmeye istekli liderlerin sayısını nasıl etkileyeceği yer alıyor. Ayrıca, Twitter'dan çıkanlar gibi daha fazla bilgi uçurma vakasını ortadan kaldırmaktan endişe ediyor.

Daha fazla CISO'nun, Direktörler ve Memurlar sigortasını iş sözleşmelerine dahil etmesini bekliyor. Bu tür bir politika, CISO'nun alabileceği kararlar ve eylemler için kişisel sorumluluk kapsamı sunuyor, diye açıkladı.

"Ayrıca, Sarbanes Oxley ve Enron skandalının hemen ardından yolsuzluktan hem CEO hem de CFO'nun sorumlu olduğu şekilde, izinsiz girişler ve ihlaller konusunda suistimal durumunda tek suçlu CISO'lar olmamalıdır" dedi. .

2002 tarihli Sarbanes-Oxley Yasası, halka açık şirketler için kapsamlı denetim ve mali düzenlemeler getiren federal bir yasadır. Şüpheli muhasebe uygulamalarını içeren bir dizi olay olan Enron skandalı, enerji, emtia ve hizmet şirketi Enron Corporation'ın iflasıyla ve muhasebe firması Arthur Andersen'in dağılmasıyla sonuçlandı.

“CISO'lar, riskleri şirketin liderlik ekibine etkin bir şekilde iletmeli, ancak siber güvenlik risklerinden tek başına sorumlu olmamalıdır” dedi.

çarpık Koşullar
Sullivan'ın mahkumiyeti, bir tür ironik rol değişimidir. Hukuk kariyerinin başlarında, San Francisco'daki Amerika Birleşik Devletleri Avukatlık Bürosu için siber suç davalarını kovuşturdu.

Adalet Bakanlığı'nın Sullivan'a karşı davası, adaleti engellemeye ve bir suçu yetkililerden gizlemeye bağlıydı. Ortaya çıkan mahkumiyet, kuruluşların ve bireysel yöneticilerin, özellikle de şantajın söz konusu olduğu durumlarda, siber olaylara müdahaleye nasıl yaklaştıkları üzerinde uzun vadeli bir etkiye sahip olabilir.

Savcılar, Sullivan'ın büyük bir veri ihlalini aktif olarak gizlediğini savundu. Jüri, makul bir şüphenin ötesinde suçlamayı oybirliğiyle kabul etti.

Jüri, ihlali bildirmek yerine, Uber'in o zamanki CEO'sunun bilgisi ve onayı ile desteklenen Sullivan'ın bilgisayar korsanlarına ödeme yaptığını ve onlara Uber'den veri çalmadıklarını yanlış bir şekilde iddia eden bir ifşa etmeme anlaşması imzalattığını tespit etti.

Daha sonra şirkete katılan yeni bir CEO, olayı FTC'ye bildirdi. Mevcut ve eski Uber yöneticileri, avukatları ve diğerleri hükümet adına ifade verdi.

BakerHostetler'de bir avukat ve eski bir DoJ siber suç savcısı ve Ulusal Güvenlik Siber Uzmanı olan Edward McAndrew, TechNewsWorld'e “Sullivan'ın kovuşturması ve şimdi mahkumiyeti çığır açıcı, ancak uygun olgusal ve yasal bağlamında anlaşılması gerekiyor” dedi.

Hükümetin son zamanlarda siber güvenliğe yönelik çok daha agresif bir politika benimsediğini kaydetti. Bu, kuruluşların ve yöneticilerin giderek daha fazla suç mağduru ve yaptırım hedefinin eşzamanlı ve farklı rollerine atıldığı beyaz yakalı uyumu etkiler.

“Kuruluşlar, bireysel çalışanların eylemlerinin kendilerini ve diğerlerini ceza adaleti sürecine nasıl maruz bırakabileceğini anlamalıdır. Ve bilgi güvenliği uzmanlarının, cezai siber saldırılara yanıt verirken yaptıkları eylemlerden kişisel olarak sorumlu olmaktan nasıl kaçınacaklarını anlamaları gerekiyor," diye uyardı McAndrew.