Çarşamba günü, eski bir Uber CSO’su, 2016 yılında araç çağırma şirketine giren bilgisayar korsanlarına gizlice onayladığı ödemelerle ilgili federal suçlamalardan suçlu bulundu.
O sırada Uber’in gizlilik önlemlerini inceleyen Federal Ticaret Komisyonu’ndan ihlali gizlediği için Joe Sullivan, adaleti engellemekten ve kasıtlı olarak bir ağır suçu gizlemekten suçlu bulundu.
ceza
Federal bir jüri, Sullivan’ı 2016 yılında Uber’deki bir güvenlik ihlalini gizleme girişiminden kaynaklanan ve bilgisayar korsanlarının 57 milyon kullanıcının ve 600.000 Uber sürücüsünün kişisel bilgilerini ele geçirmesinden kaynaklanan iki suçtan suçlu buldu.
2014’teki bir hack’in 50.000 kullanıcının adlarının ve ehliyet bilgilerinin açığa çıkmasıyla sonuçlanmasının ardından, Federal Ticaret Komisyonu Uber’e tüm ihlalleri bildirmesi talimatını verdi.
Bunun yerine Sullivan, iki bilgisayar korsanına 100.000 dolarlık bir ödeme yaptı ve onları FTC’ye haber vermeden gizlilik anlaşmaları imzalamaya zorladı. Ödemeleri, onları savunmak için bir böcek ödülü olarak nitelendirdi.
Savcılar, Sullivan’ın “Federal Ticaret Komisyonu’nu gizlemek, saptırmak ve yanıltmak için kasıtlı adımlar attığını” söyledi. [2016] çiğneme.”
ABD Başsavcı Yardımcısı Andrew Dawson’a göre, hükümet yargıçtan 15 ay hapis cezası vermesini istedi. Sullivan, üç yıllık denetimli serbestliğine ek olarak seyahat kısıtlamalarına, 50.000 dolar para cezasına ve toplum hizmetine tabi olacak.
Sullivan, siber güvenlik liderlerinin kolluk kuvvetleri soruşturmalarını nasıl ele almaları gerektiğine dair hararetli tartışmaların yer aldığı çekişmeli bir duruşmanın ardından, Kaliforniya Kuzey Bölgesi federal yargıcı William Orrick tarafından herhangi bir hapis cezasına çarptırılmadı.
Orrick, Sullivan’ın eylemlerini savunmanın yanı sıra, davanın tüm siber güvenlik endüstrisi üzerinde daha büyük bir caydırıcı etkisi olduğunu iddia eden en az biri 50’den fazla bilgi güvenliği sorumlusu (CISO) tarafından imzalanan 186 mektup aldığını iddia etti.
Çok sayıda CISO, Sullivan’ın o zamanki Uber CEO’su Travis Kalanick ve Uber’in dahili avukatı Craig Clark tarafından yanlışlıkla bir günah keçisi olarak kullanıldığını belirtti; her ikisi de saldırı gerçekleştikten altı saat sonra haberdar edildi.
Dawson, Orrick’in Duruşma sırasında Kalanick’in olayla ilgili olarak neden suçlanmadığına ilişkin sorusuna yanıt vermeyi reddetti. Orrick, Kalanick’in “en az Bay Sullivan kadar suçlu” olduğunu söyledi ve Uber’in eski CEO’sunun Sullivan’ı savunmak için bir mektup kaleme almasına rağmen tüm duruşma boyunca mahkemeye çıkmamasının ne kadar tuhaf olduğunu belirtti.
Orrick ve Dawson, CISO’ların ve siber güvenlik sektörünün diğer üyelerinin davayı nasıl gördüklerine karşı çıkarak, davanın adaleti engelleme girişimlerine odaklanması ve milyonlarca insanın hayatı üzerinde önemli bir etkisi olabilecek bir veri ihlalini gizlemesi gerektiğini iddia etti. bir ihlal meydana geldiğinde CISO’ların vermesi gereken zor kararlar.
“Aldığım bazı mektupların alt metni, Bay Sullivan’ı hapis cezasına çarptırırsam, Bay Sullivan’ın yaptığı gibi bir seçim yapabilecekleri için işlerini yapmaktan korkacakları ve hapse girmekten korkmak. Ve gerçeklerin ne olduğunu anladıklarından emin değilim,” dedi Orrick.
“Bay Sullivan’ın yaptıklarının FTC’ye ve halka verdiği zarar çok gerçekti. Kasıtlı ifşa ve gizleme suçu kovuşturulmalı ve adil bir ceza verilmelidir. CISO’yu okumadan önce [letters], Ağır mahkumiyetin şartları karşılamaya yeterli olduğunu düşünüyordum ve kesinlikle aldığım mektupların çoğu bunu yansıtıyordu. Mektupların çoğundan da bu anlaşılmıyordu. Ve buna benzer bir durumla karşı karşıya kaldıklarında ne gibi yükümlülükleri olduğunu anladıklarından emin değilim. Ve bence bu, belki de bu davanın gerçeklerini tam olarak anlamadıklarındandır.”
Dawson’a göre Sullivan hapis cezasını hak etti çünkü dava “böcek ödüllerinin özellikleri veya burada ortaya çıkan siber güvenlik tekniklerinden herhangi biri ile ilgili değildi.”
Dawson’a göre hapis cezası, CISO’lara “şirketin istediğini yapmaktan” çok “yasanın gerektirdiğini yapmaktan” sorumlu olduklarını gösterecekti.
Dawson, “Bizim açımızdan, bunun adaleti engelleme davası olarak düşünülmesi çok daha iyi,” diye açıkladı.
Ancak Dawson, hapis cezası gerektiren karşılaştırılabilir davalar sunamadı ve Orrick, elde edilen materyalin ilk bilgisayar korsanları dışında asla ifşa edilmediğinin altını çizdi.
Sullivan’ın avukatı, CISO’lardan gelen bazı mektupların birçoğunun “sadece işlerini yaparlarsa yargılanacaklarından korktuklarını” söylediğini kabul etti.
Ancak, davanın tek başına “siber güvenlik topluluğu üzerinde büyük bir etkisi” olduğunu ve “sık sık yönetici ekip konuşmalarının ve endüstri seminerlerindeki panel tartışmalarının konusu” olduğunu savundu.
Sullivan’ın avukatı, “Yasal gereklilik henüz belirlenmemiş olsa bile, politika ve uygulamaları ifşa etme yönünde hata yapmak, değiştirme çabalarının önemli bir itici gücü oldu” dedi.
Sullivan Suçunun Bir Kısmını Kabul Etti
Orrick’le uzun bir ileri geri gidip gelen Sullivan, bazı suistimalleri kabul etti. Yine de yargıç, CISO’ların Sullivan’la yaptıkları özel görüşmeler nedeniyle davayı yanlış yorumladıklarına dair endişelerini dile getirdi.
Sullivan, daha önce eski bir savcı olarak FTC ile işbirliği yaptığından bahsetti ve eski Uber avukatı Clark’ın tavsiye için başka bir avukat tutmasını istemek de dahil olmak üzere “pek çok şeyi farklı şekilde yapacağını” kabul etti.
Sullivan, karardan bu yana diğer CISO’larla konuştuğunu ve hepsine şirketlerinden “şeffaflık talep etmeleri” ve yanıt almazlarsa istifa etmeleri talimatını verdiğini iddia ediyor. Sullivan, davranışının ailesi ve siber güvenlik endüstrisindeki meslektaşları için zararlı olduğunu söyleyerek devam etti.
“Kariyerim boyunca kendimi bu durumda iyi bir rol model olabileceğim bir konuma koydum ve bunun yerine kötü bir rol model oldum. Pek çok güvenlik yöneticisi, benim ulaştığım, sesimin şirket içinde gerçekten duyulduğu seviyeye ulaşamıyor” dedi.
“Ve bence bu yüzden bazıları [CISOs] korkarlar, çünkü bu durumlarda ayağa kalkacak güçleri olmadığını düşünürler. Ama şansım ve gücüm vardı ama yapmadım. Bu durumda başarısız oldum. Şeffaflık için savaşmalıydım.”
Başsavcı Yardımcısı Lisa Monaco, Sullivan’ın davasına bariz bir şekilde atıfta bulunarak, siber güvenlik ve uyum liderlerini geçen hafta kolluk kuvvetleriyle görüşmeye devam etmeye çağırdı.
Monaco, RSA Konferansı’ndaki izleyicilere, ajansının çoğu izinsiz giriş gibi kritik durumlarda kanun yaptırımına ihtiyaç duyan CISO’lar ve uyum görevlileriyle işbirliğini genişletmek için çalıştığını söyledi. Ancak, kolluk kuvvetlerinin “bu güvenin kırılmadığından emin olması” gerektiğini belirtti.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin