Federaller, Eski Uber CISO Joe Sullivan’a 15 Ay Hapis İstiyor

Bir jüri, Ekim ayında 54 yaşındaki Sullivan’ı iki ayrı suçtan mahkum etti ve onu, bir şeyin ağır suç olduğunu bilmek ve örtbas etmek anlamına gelen bir suçu engelleme ve yanlış anlamadan suçlu buldu (bkz:: Jüri, Eski Uber CSO’su Joe Sullivan’ı Örtbas Etmekten Suçlu Buldu).

Sullivan, Perşembe günü San Francisco’daki Bölge Yargıcı William Orrick’in mahkeme salonunda hüküm vermeye hazırlanıyor. Sullivan’ın savunma avukatları, onun hapis cezası almaması gerektiğini, sadece denetimli serbestlik cezası alması gerektiğini söylüyor.

Orrick, savcılardan ve Sullivan’dan, Sullivan’ın hapsedilmesinin sonuçlarının farklı resimlerini çizen düello cezası notları aldı.

Sullivan’ın çok daha büyük, 61 sayfalık yazılı müsamaha talebi, onun daha fazla suç işlemeye girişme olasılığının son derece düşük olduğunu ve hapsedilmenin profesyonel bir risk haline gelmesi durumunda hapis süresinin güvenlik personelini CISO olarak pozisyonları kabul etmekten caydırabileceğini savunuyor.

Sullivan, Orrick’e yazdığı ayrı bir mektupta, “kötü bir örnek oluşturduğunu” yazarak yaptıklarından pişman olduğunu söyledi. Yine de, 600.000 ehliyet numarası da dahil olmak üzere 57 milyon kişinin Uber sürücü ve binici hesap verilerini çalan iki bilgisayar korsanının yerini tespit ederek yaptığı işten gurur duyduğunu söyledi. Sullivan, “Onları bulduk ve veriler halka açıklanırsa onları sorumlu tutacağımızı bilmelerini sağladık,” diye yazdı Sullivan.

“Bu stratejinin şirketin, müşterilerimizin ve sürücü ortaklarımızın çıkarına olduğuna ve verilerin kamuya açıklanmasını başarıyla engellediğine inanıyorum.”

Savcılar, Sullivan’ın davasının “güçlü bir kişinin son derece utanç verici bir olayı – aynı zamanda bir suç olan bir olayı – örtbas etmek için kasıtlı olarak konumunu kullanması” ile sonuçlandığını söylüyor.

Savcılar 18 sayfalık notlarında, “Kendisi ile yasaya uymak arasında seçim yapma fırsatı verildiğinde, kendisini seçti” diye ekliyor.

Sullivan’ın Uber CISO olarak görev süresi, iki bilgisayar korsanına bitcoin olarak 100.000 dolarlık bir ödül kisvesi altında yapılan bir ödemeyi denetledikten sonra 2017’de sona erdi. Savcılar, davalarının Sullivan’ın bilgisayar korsanlığı olayına verdiği yanıttan değil, Uber’i 2014’te daha önceki bir veri ihlali nedeniyle soruşturan Federal Ticaret Komisyonu’ndan gizlemesinden kaynaklandığını vurguladılar.

Sullivan’ın zorlukları, Kasım 2016’da FTC’ye yeminli ifade vererek Uber’in hesap verilerini şifrelediğini ve Amazon Web Services hesabının anahtarlarını GitHub depolarından kaldırdığını iddia ettikten sonra başladı. Aslında – 10 gün sonra meydana gelen bilgisayar korsanlığı olayının ortaya çıkardığı gibi – hesap verileri şifrelenmemişti ve bilgisayar korsanları tarafından çalınan bir kimlik bilgisi ile erişilen özel bir Uber kod deposu, şirketin Amazon Web Services hesabının anahtarını içeriyordu.

Sullivan, ceza notlarında “FTC’nin 2016 veri ihlalinin kendisi veya bunun olmasına izin veren güvenlik açıkları hakkındaki gerçeği asla öğrenmemesini sağlamaya çalıştı” dedi.

Savunma avukatları, CISO camiasında, hapis cezasının CISO’ların benzer bir akıbete uğrama korkusuyla bir kriz anında hızlı hareket etmekten kaçınmasına neden olacağı yönündeki endişeye işaret ediyor. “Yanlış davranışı caydırmak için bir hapis cezası gereksiz olmakla kalmaz, aynı zamanda sosyal açıdan değerli davranışları aşırı caydırarak istenmeyen olumsuz sonuçların gerçek riskini yaratır” diye yazdılar.

Savcılar, iddianın gerçekleri gözden kaçırdığını söyledi. “Dava siber güvenlik bağlamında ortaya çıkıyor, ancak siber güvenlikle ilgili değil” diye yazdılar. “Hangi sektörde çalışırsanız çalışın, her zaman yasa dışı olan eski moda adaletin engellenmesiyle ilgili.”