Осуждение бывшего директора службы безопасности Uber Джозефа Салливана может стать пугающей переоценкой того, как директора по информационной безопасности (CISO) и сообщество безопасности будут справляться с нарушениями в сети в будущем.
Федеральное жюри Сан-Франциско 5 октября признало Салливана виновным в том, что он не сообщил властям США о взломе баз данных Uber в 2016 году. Судья Уильям Х. Оррик не назначил дату вынесения приговора.
Адвокат Салливана Дэвид Анджели заявил после оглашения приговора, что единственной задачей его клиента было обеспечение безопасности личных цифровых данных людей.
Федеральные прокуроры отметили, что это дело должно послужить предупреждением для компаний о том, как они соблюдают федеральные правила при устранении нарушений в своей сети.
Официальные лица обвинили Салливана в работе по сокрытию утечки данных от регулирующих органов США и Федеральной торговой комиссии, добавив, что его действия были попыткой предотвратить поимку хакеров.
В то время FTC уже расследовала Uber после взлома в 2014 году. Два года спустя повторный взлом сети Uber был связан с тем, что хакеры отправили Салливану электронное письмо о краже большого количества данных. По данным Министерства юстиции США, они пообещали удалить данные, если Uber заплатит им выкуп.
Этот приговор является значительным прецедентом, который уже вызвал шок в сообществе директоров по информационной безопасности. В нем подчеркивается личная ответственность, связанная с тем, чтобы быть директором по информационной безопасности в динамичной политической, правовой среде и среде злоумышленников, отметил Кейси Эллис, основатель и технический директор в Багкраудкраудсорсинговая платформа кибербезопасности.
«Он требует более четкой политики на федеральном уровне в Соединенных Штатах в отношении защиты конфиденциальности и обработки пользовательских данных, и подчеркивает тот факт, что упреждающий подход к обработке информации об уязвимостях, а не реактивный подход, принятый здесь, является ключевым компонентом. устойчивости для организаций, их групп безопасности и их акционеров», — сказал он TechNewsWorld.
неприятные детали
Растет тенденция к тому, чтобы компании, ставшие жертвами программ-вымогателей, вступали в переговоры с хакерами. Но судебный дискурс показал, что прокуроры напоминают компаниям «поступать правильно», согласно сообщениям СМИ.
Согласно опубликованным отчетам о судебных разбирательствах, сотрудники Салливана подтвердили крупную кражу данных. Он включал украденные записи 57 миллионов пользователей Uber и 600 000 номеров водительских прав.
Министерство юстиции сообщило, что Салливан добивался согласия хакеров на выплату 100 000 долларов США в биткойнах. Это соглашение включало подписание хакерами соглашения о неразглашении информации о взломе. Uber якобы скрыл истинную природу платежа как вознаграждение за обнаружение ошибок.
Только присяжные имели доступ к уликам по делу, поэтому разглагольствовать о конкретных деталях дела контрпродуктивно, считает Рик Холланд, директор по информационной безопасности и вице-президент по стратегии в Цифровые тенипоставщик цифровых решений для управления рисками.
«Есть общие выводы. Я обеспокоен непредвиденными последствиями этого дела», — сказал Холланд TechNewsWorld. «У CISO уже есть сложная работа, и исход дела повышает ставки для CISO в качестве козла отпущения».
Критические вопросы без ответов
Опасения Холланда включают то, как исход этого судебного разбирательства может повлиять на количество лидеров, готовых взять на себя потенциальную личную ответственность роли директора по информационной безопасности. Он также беспокоится о том, чтобы вытеснить больше дел о разоблачителях, таких как те, которые выросли из Twitter.
Он ожидает, что больше директоров по информационной безопасности будут включать страхование директоров и должностных лиц в свои трудовые договоры. Он пояснил, что этот тип полиса предлагает покрытие личной ответственности за решения и действия, которые может предпринять директор по информационной безопасности.
«Кроме того, так же, как и генеральный директор, и финансовый директор стали ответственными за коррупцию вслед за Сарбейнсом Оксли и скандалом с Enron, директора по информационной безопасности не должны быть единственными виновными в случае правонарушений, связанных со вторжениями и нарушениями», — предложил он. .
Закон Сарбейнса-Оксли 2002 года — это федеральный закон, устанавливающий всеобъемлющие правила аудита и финансов для публичных компаний. Скандал с Enron, серия событий, связанных с сомнительной практикой бухгалтерского учета, привел к банкротству энергетической, сырьевой и сервисной компании Enron Corporation и роспуску бухгалтерской фирмы Arthur Andersen.
«CISO должны эффективно сообщать о рисках руководству компании, но не должны нести единоличную ответственность за риски кибербезопасности», — сказал он.
Извращенные обстоятельства
Осуждение Салливана — своего рода ироническая смена ролей. Ранее в своей юридической карьере он вел дела о киберпреступлениях в прокуратуре США в Сан-Франциско.
Дело Министерства юстиции против Салливана основывалось на препятствовании правосудию и сокрытии преступления от властей. Вынесенный обвинительный приговор может иметь долгосрочные последствия для того, как организации и отдельные руководители подходят к реагированию на киберинциденты, особенно когда речь идет о вымогательстве.
Прокуратура утверждала, что Салливан активно скрывал массовую утечку данных. Присяжные единогласно согласились с обвинением вне всяких разумных сомнений.
Вместо того, чтобы сообщить о нарушении, присяжные обнаружили, что Салливан, опираясь на знание и одобрение тогдашнего генерального директора Uber, заплатил хакерам и заставил их подписать соглашение о неразглашении, в котором ложно утверждалось, что они не крали данные у Uber.
Новый исполнительный директор, который позже присоединился к компании, сообщил об инциденте в FTC. Нынешние и бывшие руководители Uber, юристы и другие лица дали показания в пользу правительства.
Эдвард МакЭндрю, поверенный BakerHostetler и бывший прокурор Министерства юстиции по киберпреступлениям и специалист по национальной безопасности по кибербезопасности, сказал TechNewsWorld, что «судебное преследование Салливана, а теперь и приговор, являются новаторскими, но их необходимо понимать в надлежащем фактическом и юридическом контексте».
Он отметил, что недавно правительство приняло гораздо более агрессивную политику в отношении кибербезопасности. Это влияет на соответствие требованиям «белых воротничков», когда организации и руководители все чаще играют одновременные и несопоставимые роли жертвы преступления и объекта правоприменения.
«Организации должны понимать, как действия отдельных сотрудников могут подвергнуть их и других процессу уголовного правосудия. А специалисты по информационной безопасности должны понимать, как избежать личной ответственности за действия, которые они предпринимают в ответ на преступные кибератаки», — предупредил МакЭндрю.
