Olay ve İhlale Müdahale, Güvenlik Operasyonları
Uber’in Eski CSO’su, Sorunun Hukuk Ekibinin de Sahiplenmesi Gereken Bir Soru Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
5 Ekim 2023
STK’lar için hileli soru: Bir güvenlik olayı ne zaman bir veri ihlali, tetikleyici bildirim veya diğer düzenleyici kural olarak nitelendirilir?
Ayrıca bakınız: Bugün Canlı Web Semineri | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Eski Uber CSO’su Joe Sullivan, ABD Adalet Bakanlığı’nın kendisine karşı yürüttüğü başarılı soruşturmadan öğrendiği dersleri paylaşarak, bunun cevabının siber güvenlik liderlerinin tamamen döngünün içinde kalırken hukuk ekiplerine bırakması gereken “çok karmaşık bir soru” olduğunu söyledi.
Uber gibi bir şirketin faaliyet gösterdiği 100 ülkede çok sayıda düzenlemeye uymak zorunda olması nedeniyle, “operasyonel rollerdeki herhangi birimizin buna ayak uydurabilmesinin hiçbir yolu yok ve bu yüzden bunu denememeliyiz bile. “dedi. “Denemedim ve denemedim bile.”
Bunun yerine, “aynı şekilde ekibimdeki AppSec mühendisinin AppSec’i benden çok daha iyi bilmesini beklerdim, ekibimde görevlendirilen avukatın da kendi alanını bilmesini beklerdim ve bir ekip olarak bir araya gelmemiz gerekirdi doğru sonuca ulaşmak için” dedi (bkz: Uber Eski CSO’nun Davası: İhlalin Bildirilmesinden Kim Sorumlu?).
Sullivan’ın, uzun süredir CISO olarak görev yapan ve şu anda Bilgi Güvenliği Medya Grubu’nun CyberEd.io siber güvenlik eğitim platformuna başkanlık eden Steve King tarafından yürütülen bir podcast röportajında paylaştığı gözlemleri konuyla ilgilidir, çünkü Ekim 2022’de, dört haftalık bir duruşmanın ardından federal büyük jüri Sullivan’ı, bir şeyin suç olduğunu bilmek ve onu örtbas etmek anlamına gelen bir suçu engellemek ve yanlış okumaktan suçlu buldu.
Sullivan’ın suçu, kendi gözetiminde bir ihlalin meydana gelmesi değil, 2014 yılında daha önce meydana gelen bir veri ihlalinin ardından Federal Ticaret Komisyonu tarafından Uber’in veri güvenliği uygulamalarına ilişkin devam eden federal soruşturmayı engellemesiydi. Uber’in FTC’nin sorularını yanıtlaması için, ajansa yeminli ifade verdikten 10 gün sonra meydana gelen 2016 ihlali hakkında onları bilgilendirmesi gerekirdi.
Hükümetin davası kısmen Sullivan ve ekibinin saldırganlarla bir gizlilik anlaşması imzalamasına bağlıydı. Savcılar, eski Uber STK’sını, halka açık şirketten 57 milyon kullanıcı ve sürücü kaydının yanı sıra 600.000 sürücü belgesi numarasının çalınmasıyla sonuçlanan 2016 hack saldırısını örtbas etmek için Gizlilik Anlaşmasını ve sözde hata ödülünü kullanmakla suçladı.
Sullivan, 2016 hack müdahalesi boyunca ekibine, patronu gizlilik ekibinden sorumlu olan ve aynı zamanda Uber’in FTC’ye yanıtını yöneten avukatları denetleyen hukuk ekibinin bir üyesi tarafından tavsiyelerde bulunulduğunu ve daha sonra savcılar tarafından dokunulmazlık verildiğini söyledi.
Duruşma sırasında delil olarak sunulan kısa mesajlar, Sullivan’ın saldırıyı, veri hırsızlığını tartıştığını ve Uber’in o zamanki CEO’su Travis Kalanick ile hata ödülü ödemesi önerdiğini gösterdi.
Uber’in sonraki CEO’su Dara Khosrowshahi, Adalet Bakanlığı ile takipsizlik anlaşması imzaladı ve şirket davaya yardımcı oldu. Kalanick suçlanmadı. Duruşmada ne Sullivan ne de Kalanick ifade vermedi. Sullivan karara itiraz ediyor.
Sullivan’a karşı açılan dava, bir STK’nın bir veri ihlalini nasıl ele aldığına ilişkin ilk federal soruşturma olması ve görünüşe göre ihlalin nihai sorumluluğunu üst düzey bir şirket yetkilisine değil, STK’ya devretmesi açısından bir dönüm noktasıydı ( Görmek: Sullivan Kararından Sonra: Bir CISO’nun Hapisten Kaçınma Rehberi).
Hapis cezası yok
Savcılar Sullivan’a 15 ay hapis cezası verilmesini önerdi. Mayıs ayında, dava sırasındaki ifadeye ve Sullivan’ın iyi karakterini ve siber güvenlik topluluğuna hizmet ettiğini kanıtlayan 200’den fazla mektuba dayanarak, ABD Bölge Yargıcı William H. Orrick bunun yerine eski STK’yı üç yıl denetimli serbestliğe ve 50.000 dolar ödemeye mahkum etti. iyi. Güvenlik olayını kontrol altına aldıkları için Sullivan ve ekibine övgüde bulundu.
Duruşma sırasında verilen ifadeye dayanarak Sullivan, ceza duruşmasında yargıcın gizlilik anlaşmasının amacının ihlali örtbas etmek olmadığını kabul ettiğini söyledi. Bunun yerine, hasarı kontrol altına almaya çalışmak ve saldırganları tespit etmek için kullanıldığını söyledi; ister ulus devlet grubu, ister organize suç ya da – bu vakada olduğu gibi – ergenlik çağındaki bir adam ve yirmili yaşlarının başındaki bir adam olsun. kurumsal ağlarda güvenlik açıkları bulan ve öğrendiklerinin karşılığında para talep eden kişiler.
Sullivan, Facebook’un CSO’su olarak görev yaptığı Uber’den önceki dönemde kısmen geliştirdiği “bağlantı taktik kitabının” saldırganlarla sürekli iletişimi içerdiğini söyledi. “İletişimin ve/veya ödemenin bir parçası olarak onları farklı platformlardan geçmeye zorluyorsunuz ve er ya da geç, büyük olasılıkla işleri batırıp bir IP adresini veya başka bir şeyi ifşa edecekler.”
Uber’den veri çalan iki adamın şirkete “John Dough” adıyla iletişim kurarak güvenlik açığının ayrıntılarını paylaşma ve verileri silme sözü karşılığında 100.000 dolar istediklerini söylemesinde de aynı şey oldu.
Uber’in güvenlik ekibi onlara hata ödülü almak için bir gizlilik anlaşması imzalamaları gerektiğini söyledi ve bunu çevrimiçi belge imzalama hizmeti aracılığıyla yapmaları yönünde bir talep aldılar. Sullivan, “Kaynak IP adreslerini nasıl bloke edeceklerini çözemediler” dedi ve bu da onların maskesinin düşmesine yol açtı.
“Onları bulabildik, yerlerini tespit edebildik” dedi ve kendisinin ve ekibinin “müşterilerimizi ve onların verilerini koruma açısından doğru sonuca ulaştığımızı hissettiğini” de sözlerine ekledi. İki hacker daha sonra hackleme suçlamalarını kabul etti.
Sullivan’a karşı verilen suçlu kararı, genellikle yöneticiler ve memurlar sorumluluk sigortasına sahip olmayan STK’lar arasında endişeleri tetikledi; ancak hukuk uzmanları artık bunu yapmalarını tavsiye ederken, davanın benzersiz gerçeklerinin güvenliğe özgü herhangi bir emsal oluşturmadığını da ekledi. .
Buna rağmen Sullivan, güvenlik liderlerinin kendisine bu davanın zaten zor olan işlerini daha da zorlaştırdığını ve sadece kendi örgütlerine yönelik riskler için değil aynı zamanda kendileri için de riskler konusunda endişelenmelerine neden olduğunu söylediğini söyledi; bunlar “benim durumumdan kaynaklanan tüm kötü şeyler, biliyorsun, en azından kısmen sebep oldum.”
Suçlu kararının ardından Sullivan, şirketin “çok destekleyici olduğunu ancak sormak isteyeceğiniz çok şey var” diyerek Cloudflare’in CSO’su olarak görevinden ayrıldı ve ağır bir suçtan hüküm giydikten sonra artık bu görevi yerine getiremeyeceğini söyledi. .
Kısa sürede, kendisine Uber ve Cloudflare’de görev veren aynı personel alımı görevlisi, Ukrayna’nın savunmasını desteklemek için gönüllü olma arzusunu, halen Ukrayna’da bulunan sivillerin yanı sıra mültecileri de destekleyen Ukrayna Dostları’nın CEO’su olarak yeni bir iş fırsatına dönüştürdü. ABD merkezli kar amacı gütmeyen kuruluşun çalışmalarından biri dizüstü bilgisayarların yeniden değerlendirilmesini içeriyor. Ukrayna’ya gönderiyorum Öğrencilerin okullarda (eğer şahsen katılabilecek kadar şanslılarsa) veya uzaktan eğitimde kullanmaları için.
Sullivan, “Şirketlerimiz, küçük girişimlerimiz, 10 dizüstü bilgisayar bağışlayanlar ve büyük şirketler yüzlerce dizüstü bilgisayar bağışlayanlar oldu ve bunların her biri bir fark yaratıyor çünkü her biri bir çocuğun hayatını değiştiriyor.” dedi.
Öğrenilen Liderlik Dersleri
Sullivan şu anda STK olarak hizmet veren bireylere ne gibi tavsiyelerde bulunuyor?
Başlangıç olarak, “insanlara yardım etmek isteyen” insanlarla dolu olduğunu söylediği mesleğe giren herkesi övüyor. Güvenlik ekipleri için övgü genellikle yetersiz olacaktır ve işin geri kalanı genellikle ne yaptıklarını veya aktif olarak neyi önlediklerini bilmez. Yine de güvenlik liderlerinin etraflarındakiler üzerinde kanıtlanabilir bir etkisi olabileceğini söyledi.
“Eğer bir güvenlik lideriyseniz, bir lider olduğunuzu ve bir başkasına yardım etmek için yaptığınız en küçük şeyin bile onlar üzerinde büyük bir etki yarattığını unutmayın” dedi. “Bu vakada takdir ettiğim şey şuydu: İnsanların mektuplarda yazdıkları şeylerin yarısını bile hatırlamıyordum ama izlenimler bırakmıştım çünkü ben onların ekibinin lideriydim ya da ekibin lideriydim. onlarınkine bitişik bir departman ya da oğullarını öğle yemeğinde ağırladım ve mesleğimi anlattım ya da yaptığınız tüm o küçük şeyler bir araya geliyor ve başkaları için bir fark yaratıyor ve bunları yapmak için her zaman zaman ayırmalısınız. Öğrendiğim şey bu.”