او انتظار دارد که تعداد بیشتری از CISOها در مورد بیمه مدیران و افسران در قراردادهای کاری خود مذاکره کنند. او توضیح داد که این نوع سیاست پوشش مسئولیت شخصی را برای تصمیمات و اقداماتی که CISO ممکن است انجام دهد ارائه می دهد.
در آن زمان، FTC در حال بررسی Uber پس از هک سال 2014 بود. هک تکراری شبکه اوبر دو سال بعد شامل ارسال ایمیل به سالیوان از سوی هکرها در مورد سرقت حجم زیادی از داده ها بود. به گفته وزارت دادگستری ایالات متحده، آنها قول داده اند در صورت پرداخت باج توسط اوبر، داده ها را حذف کنند.
قانون Sarbanes-Oxley در سال 2002 یک قانون فدرال است که مقررات جامع حسابرسی و مالی را برای شرکت های دولتی ایجاد می کند. رسوایی انرون، مجموعه ای از رویدادهای مربوط به شیوه های حسابداری مشکوک، منجر به ورشکستگی شرکت انرژی، کالاها و خدمات Enron Corporation و انحلال شرکت حسابداری آرتور اندرسن شد.
وزارت دادگستری گزارش داد که سالیوان به دنبال موافقت هکرها برای پرداخت 100000 دلار آمریکا به صورت بیت کوین بوده است. این توافق شامل هکرها میشود که یک توافقنامه عدم افشای اطلاعات را امضا میکنند تا هک را از اطلاعات عمومی دور نگه دارند. ظاهرا اوبر ماهیت واقعی پرداخت را به عنوان جایزه باگ پنهان کرده است.
مدیر اجرایی جدیدی که بعداً به شرکت ملحق شد، این حادثه را به FTC گزارش کرد. مدیران فعلی و سابق اوبر، وکلا و دیگران برای دولت شهادت دادند.
وکیل سالیوان، دیوید آنجلی، پس از اعلام حکم گفت که تمرکز موکلش تنها اطمینان از امنیت داده های دیجیتال شخصی افراد بوده است.
ادوارد مک اندرو، وکیل در BakerHostetler و دادستان سابق جرایم سایبری وزارت دادگستری و متخصص سایبری امنیت ملی، به TechNewsWorld گفت که «تعقیب قضایی سالیوان و محکومیت او در حال حاضر راهگشا است، اما باید در زمینه واقعی و قانونی آن درک شود.»
نگرانی هالند شامل این است که چگونه نتیجه این آزمایش ممکن است بر تعداد رهبرانی که مایل به قبول مسئولیت شخصی بالقوه نقش CISO هستند تأثیر بگذارد. او همچنین نگران افشای پروندههای افشاگر بیشتر مانند مواردی است که از توییتر رشد کرده است.
مقامات سالیوان را متهم به تلاش برای مخفی کردن نقض داده ها از قانونگذاران ایالات متحده و کمیسیون تجارت فدرال کردند و افزودند که اقدامات او برای جلوگیری از دستگیر شدن هکرها تلاش می کند.
این درخواست برای سیاست شفافتر در سطح فدرال در ایالات متحده در مورد حفاظت از حریم خصوصی و رفتار با دادههای کاربر، و بر این واقعیت تأکید میکند که رویکرد فعالانه برای رسیدگی به اطلاعات آسیبپذیری، به جای رویکرد واکنشی اتخاذ شده در اینجا، یک جزء کلیدی است. تاب آوری برای سازمان ها، تیم های امنیتی آنها، و سهامداران آنها،” او به TechNewsWorld گفت.
جزئیات دردسرساز
این محکومیت سابقه قابل توجهی است که در حال حاضر موجی از شوک را در جامعه CISO ایجاد کرده است. کیسی الیس، موسس و مدیر ارشد فناوری Bugcrowd، یک پلتفرم امنیت سایبری جمعسپاری شده، خاطرنشان کرد، این مسئولیت شخصی درگیر بودن یک CISO در یک سیاست پویا، حقوقی و محیط مهاجم را برجسته میکند.
روند رو به رشد شرکت هایی است که قربانی باج افزار می شوند تا با هکرها مذاکره کنند. اما گفتمان محاکمه نشان داد که دادستانها به شرکتها یادآوری میکنند که «کار درست را انجام دهند»، طبق گزارشهای رسانهها.
او پیشنهاد کرد: «علاوه بر این، همانطور که هم مدیر عامل و هم مدیر ارشد مالی پس از ساربانس آکسلی و رسوایی انرون مسئول فساد شدند، CISO ها نباید تنها نقش های مقصر در صورت تخلف در مورد نفوذها و تخلفات باشند.» .
دادستان ها استدلال کردند که سالیوان به طور فعال یک نقض گسترده داده ها را پنهان کرده است. هیئت منصفه به اتفاق آرا با اتهام خارج از شک منطقی موافقت کرد.
“برخی نتیجه گیری های کلی وجود دارد که می توان نتیجه گرفت. هالند به TechNewsWorld گفت: من نگران عواقب ناخواسته این پرونده هستم. CISO ها در حال حاضر یک کار چالش برانگیز دارند و نتیجه پرونده خطرات را برای CISO افزایش می دهد.
سوالات بی پاسخ انتقادی
پرونده وزارت دادگستری علیه سالیوان به ممانعت از اجرای عدالت و اقدام برای پنهان کردن یک جنایت از مقامات بستگی دارد. محکومیت حاصل میتواند تأثیر طولانیمدتی بر نحوه برخورد سازمانها و مدیران فردی به واکنش به حوادث سایبری، به ویژه در مواردی که شامل اخاذی باشد، داشته باشد.
دادستان های فدرال خاطرنشان کردند که این پرونده باید به عنوان هشداری برای شرکت ها در مورد نحوه رعایت مقررات فدرال هنگام رسیدگی به نقض شبکه خود باشد.
هیئت منصفه به جای گزارش نقض، متوجه شد که سالیوان با حمایت از دانش و تایید مدیر عامل وقت اوبر، به هکرها پول پرداخت کرده و آنها را مجبور به امضای قرارداد عدم افشای اطلاعات کرده است که به دروغ ادعا میکرد که دادههای اوبر را سرقت نکردهاند.
وی خاطرنشان کرد که دولت اخیراً سیاست بسیار تهاجمی تری را در قبال امنیت سایبری اتخاذ کرده است. این امر بر انطباق یقه سفیدها تأثیر می گذارد، جایی که سازمان ها و مدیران اجرایی به طور فزاینده ای در نقش های همزمان و متفاوت قربانی جرم و هدف اجرایی نقش می بندند.
او گفت: «سازمانهای CISO باید ریسکها را به طور مؤثر به تیم رهبری شرکت منتقل کنند، اما نباید به تنهایی مسئول خطرات امنیت سایبری باشند».
شرایط پیچیده
اعتقاد سالیوان نوعی تغییر نقش کنایه آمیز است. او در اوایل حرفه حقوقی خود، پرونده های جرایم سایبری را برای دفتر دادستانی ایالات متحده در سانفرانسیسکو تحت پیگرد قانونی قرار می داد.
ریک هالند، افسر ارشد امنیت اطلاعات و معاون استراتژی در Digital Shadows، ارائهدهنده راهحلهای مدیریت ریسک دیجیتال، معتقد است که فقط هیئت منصفه به شواهد پرونده دسترسی داشت، بنابراین ارائه جزئیات خاص این موضوع نتیجه معکوس دارد.
هیئت منصفه فدرال سانفرانسیسکو در 5 اکتبر سالیوان را به دلیل عدم اطلاع رسانی به مقامات ایالات متحده در مورد هک پایگاه داده های Uber در سال 2016 محکوم کرد. قاضی ویلیام اچ اوریک تاریخ صدور حکم را تعیین نکرد.
محکومیت جوزف سالیوان، مدیر ارشد امنیتی سابق Uber ممکن است یک ارزیابی مجدد دلهره آور از نحوه مدیریت افسران امنیت اطلاعات (CISOs) و جامعه امنیتی با نقض های شبکه در آینده باشد.
طبق گزارش های آزمایشی منتشر شده، کارکنان سالیوان سرقت گسترده داده ها را تأیید کردند. این شامل سوابق سرقت شده 57 میلیون کاربر Uber و 600000 شماره گواهینامه رانندگی است.
«سازمانها باید بدانند که چگونه اقدامات تک تک کارکنان میتواند آنها و دیگران را در معرض فرآیند عدالت کیفری قرار دهد. و متخصصان امنیت اطلاعات باید بدانند که چگونه از مسئولیت شخصی در قبال اقداماتی که در واکنش به حملات سایبری جنایی انجام می دهند اجتناب کنند.