Joe Sullivan, bu yıl 4 Mayıs’taki ceza duruşmasına, hakimin şartlı tahliye kurulunun şartlı tahliye tavsiyesiyle gitmemesi halinde hapse girmeye hazır olarak geldi. A federal jüri suçlu bulundu eski Uber CISO’su aylar önce, düzenleyicileri 2016’daki bir siber güvenlik ihlali konusunda uyarmadığı için iki dolandırıcılık suçlamasıyla yargılanmıştı, ancak Sullivan herhangi bir hapis cezasına çarptırılmaktan kurtuldu.
Bunun yerine, ABD Kuzey Bölgesi Bölge Mahkemesinden Yargıç William Orrick Kaliforniya Sullivan’ı mahkum etti üç yıl denetimli serbestlik, 200 saat toplum hizmeti ve 50.000 dolar para cezasına kadar. Savcılar, Federal Ticaret Komisyonu’nun (FTC), Sullivan’ın müşterilerin ve Uber sürücülerinin 50 milyondan fazla kaydını etkileyen ihlali bildirmediği yönündeki suçlamalar nedeniyle 15 ay hapis cezası istiyordu.
Sullivan, Dark Reading’e “Ceza duruşmasına, talep edeceğimiz belirli bir cezaevi alanıyla hapse girmeye tamamen hazır olarak gittim” dedi. “Tüm farklı federal tesisleri araştırmam ve ailemin en çok ziyaret edebileceği ve benim için en güvenli olanın hangisi olacağını bulmam gerekiyordu. Ayrıca çocuklarıma kimin bakacağını ve kimin ilgileneceğini düşünmem gerekiyordu. evimin faturalarını kim ödeyecek ve diğer her şeyi kim yönetecekti?”
Joe Sullivan, Uber İhlali Sonrası
Artık mesele karara bağlandığına göre Sullivan konuşmakta özgür ve şunları yapmayı planlıyor: onun hikayesini paylaş açılış konuşmasında Siyah Şapka Avrupa 2023 7 Aralık’ta. Sullivan, altı yılı aşkın süredir dilini ısırmanın kolay olmadığını söylüyor. Sullivan, “Avukatlarım tek kelime etmeme izin vermedi” diye yakınıyor.
“Birisi sizin yaptığınız şeyin üzerini örtbas etmek olarak etiketlenirse, insanların bu fikri benimsemesi gerçekten çok kolay” diyor. “Altı yıl boyunca, medyada benim hakkımda doğru olmadığını bildiğim şeylerin söylendiğini duymak ve görmek zorunda kaldım. Ve çocuklarım, tanıdıkları herkesin onlara babaları hakkında ne gördüklerini sormalarına maruz kalmak zorunda kaldılar. haberler.”
Asgari cezayı alan Sullivan, aklandığını söylüyor. “Yargıç, soruşturmada harika bir iş çıkardığımızı söyledi” diyor. “Biz kendi stratejimizi takip ettik. İnsanların anlamadığı şey, şirketin D&O’ya sahip olduğu [directors and officers] sigorta poliçeleri. Aramamız gereken belirli bir avukatı belirleyen bir veri ihlali müdahale politikamız vardı. Ekip o avukatı aradı ve PR’yi aradı. CEO’yu bilgilendirdim ve onu güncel bilgilerden haberdar ettim.”
Şeffaflık En Önemli Derstir
Sullivan, yaptığı en önemli hatanın, ekibinin ihlali nasıl ele aldığını incelemek üzere üçüncü taraf müfettişleri ve avukatları görevlendirmemesi olduğunu söyledi. “Yapmadığımız şey, alınan tüm kararları doğrulamak için üçüncü bir taraf getirmemiz konusunda ısrar etmekti” diyor. “Bunu söylemekten nefret ediyorum ama bu daha çok CYA.”
Artık Sullivan, diğer CISO’lara ve şirketlere, özellikle de yeni Menkul Kıymetler ve Borsa Komisyonu (SEC) olarak, ihlalleri ifşa etme sorumluluklarını yerine getirmeleri konusunda tavsiyelerde bulunuyor. olay raporlama gereksinimleri yürürlüğe girecek şekilde ayarlandı. Sullivan yeni düzenlemeleri memnuniyetle karşıladığını söylüyor. “Daha fazla şeffaflığa yönelik her şeyin iyi bir şey olduğunu düşünüyorum” diyor. Eski Başkan Barack Obama’nın programındayken bunu hatırlıyor. Ulusal Siber Güvenliğin Artırılması KomisyonuSullivan, güvenlik olaylarının başında şeffaf olmaları halinde şirketlere dokunulmazlık verilmesi konusunda baskı yapıyordu.
Sullivan’a göre bu şu ana kadar gerçekleşmedi. Sullivan, jürinin Aralık ayından itibaren eylem gerektirecek olan yeni düzenlemeler konusunda hala kararsız olduğunu söyledi.
Sullivan, “Şu anda pek çok şirket şeffaf olmanın kendi çıkarlarına olmadığını düşünüyor” diyor. “SEC’in teşvikleri havuç yerine sopayla değiştirmeye çalıştığını düşünüyorum. Ama onların sahip olduğu araç bu ve hiç yoktan iyidir.”
SolarWinds SEC’den Karışık Sinyaller Gönderiyor
Bu arada SEC, veri plajının yanlış yönetimi söz konusu olduğunda sıfır tolerans odağının sinyalini veriyor. son dolandırıcılık suçlaması New York Güney Bölgesi’ndeki ABD Bölge Mahkemesinde SolarWinds Corp. ve onun CISO’su Tim Brown’a karşı, yazılım tedarik zinciri saldırısı Ekim 2020’de şirketin Orion platformunda.
Ancak Sullivan, SEC’in SolarWinds ve Brown’u suçlama kararının, ajansın sadece aylar önce yeni açıklama kurallarını uygulamaya koyma yaklaşımıyla çeliştiğini söylüyor.
Sullivan, “Bir yandan toplulukla etkileşim halindeler ve bazı yeni beklentiler belirlediler; bence bu harika çünkü yol için bazı kurallar koymaya çalışıyorlar ve halktan geri bildirim alıyorlar” diyor. “Fakat Solar Winds ve Tim Brown yaptırım eylemine bakarsanız çok farklı bir yaklaşım görürsünüz, bu da pek işbirlikçi değildir ve pek çok yorumcu belki de hayatın gerçekte nasıl bir şey olduğunu tam olarak anlamadıklarını öne sürdü. bir şirketin içinde güvenliği sağlamak.”
Sullivan, yalnızca ilgili tarafların hangi kanıtların sunulacağını bilmesi nedeniyle davanın nasıl sonuçlanacağını tahmin etmek için henüz çok erken olduğunu söylüyor. Ancak SEC’in suçlamalarına göre kendi durumuyla benzerlikler görüyor.
“Hükümet ve benim durumumda FTC, şirketimin yeterince şeffaf olmadığını hissetti ve güvenlik duruşumuzun iletişimcisi olmak veya herhangi bir soruya cevap vermek benim işim olmamasına rağmen beni kişisel olarak sorumlu tutmaya çalıştılar. Sullivan şöyle diyor: “Aslında pek çok belgeyi görmemiştim. Dolayısıyla onların davası, şirketin iletişim yaklaşımından kişisel olarak sorumlu tutulmamla ilgiliydi. Tim Brown’ın davası da tamamen aynı.”