Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Hükümlü Eski Uber STK’sı, Hükümetin Kendisine Aleyhindeki Davadan Öğrenilen Dersleri Paylaşıyor
Mathew J. Schwartz (euroinfosec) •
7 Aralık 2023
Eski CSO Joe Sullivan, bu hafta Londra’da düzenlenen Black Hat Avrupa konferansında konferansa katılanlara siber güvenlik uzmanları, kendi kaderinizi seçme zamanının geldiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Facebook, Uber ve Cloudflare’in eski CSO’su Sullivan, Perşembe sabahı açılış konuşmasında “Geleceğimizin iki yönden birine gitmek üzere olduğuna inanıyorum” dedi (bkz: Londra’da Black Hat Europe 2023 Önizleme: 16 Sıcak Oturum).
Ya CISO’lar teknik açıdan geride kalacak ya da gerçek üst düzey yöneticiler olacak ve bu şekilde muamele görecekler, dedi ve sektörün açıkça ikincisini benimsemesi gerektiğini ekledi. “Hepiniz için zorluk şu: Hangi meslekte olmak istiyorsunuz?”
Sullivan, ABD hükümetinin kendisine karşı açtığı davadan öğrendiği dersleri paylaşmak için sahneye çıktı; bu, jürinin onu iki ağır suçtan suçlu bulmasıyla sonuçlandı: bir hükümet soruşturmasını engellemek ve bir ağır suçun yanlış değerlendirilmesi. Birleşik Devletler’den Birleşik Devletler’e kadar”, burada genel hukuka göre eğer birisi bir ağır suçun örtbas edilmesine yardım ederse bu da ağır bir suçtur. Şu anda karara itiraz ettiği için konuşmasının mahkeme salonunda gördükleri ve duyduklarına odaklanacağını söyledi.
Sullivan, özel sektöre geçen, Facebook ve ardından Uber’de CSO olarak görev yapan eski bir federal savcıdır. 2016 yılında Uber bir veri ihlali yaşadı ve bunun sonucunda şirket, sızdırılan verileri sildiklerine dair güvence karşılığında 57 milyon kişinin sürücü ve yolcu hesap verilerini çalan iki bilgisayar korsanına 100.000 dolar bitcoin ödedi (bkz.: Joe Sullivan: İhlal Nedir? ‘Bu karmaşık bir soru’).
Kim CISO Olmak İster?
Sullivan’a karşı açılan dava, ABD Menkul Kıymetler ve Borsa Komisyonu’nun Ekim ayında SolarWinds ve onun CISO’suna karşı açıkladığı suçlamalar gibi güvenlik profesyonelleri tarafından da yakından izlendi; bu suçlamalar onları dolandırıcılık ve iç kontrol başarısızlıkları ve yatırımcıları şirketin siber güvenlik uygulamaları ve riskleri konusunda yanıltmakla suçladı.
Sullivan, kariyeri boyunca siber güvenlik uzmanlarından duyduğu ve onlara danışmanlık yapmasına yardımcı olduğu temel soruların şunlar olduğunu söyledi: Sektöre nasıl girebilirim? Nasıl CISO olurum?
Ağır suçlardan hüküm giymesi ve SEC’in SolarWinds’e yönelik iddialarının ardından, potansiyel CISO iş adaylarının sorusunun şu şekilde değiştiğini söyledi: “Joe, bunu gerçekten yapmak istiyor muyum?”
Veri ihlalleriyle ilgili değişen toplumsal beklentiler ve unvanlarında “güvenlik” sözcüğünü taşıyan ancak şirketlerinde bunu sağlayacak kaynaklara veya itibara sahip olmayan iş sahiplerinin çok fazla CISO’nun kelepçelendiğini gördüğünü söyledi.
Sullivan, “Teknik konularda elimizi nasıl tutacağımızı bulmamız gerekiyor, ancak aynı zamanda stratejik liderlik yeteneğine sahip, kar ve zarar tablosunu okuyabilen ve çok daha fazlasını yapabilen gerçek yöneticiler olmayı da öğrenmeliyiz” dedi.
“Yönetim kurulunun önüne çıkıp bir araya getirdiğiniz bazı slaytları sunmak değil, kurulla nasıl tartışacağınızı bilmelisiniz” dedi. “Şu anda dünya değişiyor ve buna devam etmeliyiz, yoksa geride kalacağız.”
Sullivan’ın suçu, kendi gözetiminde meydana gelen bir ihlal değil, 2014’teki daha önceki bir veri ihlalinin ardından Federal Ticaret Komisyonu’nun Uber’in veri güvenliği uygulamalarına ilişkin devam eden soruşturmasını engellemesiydi.
Savcılar, 2016’daki ihlalin gerçekleşmesinden kısa bir süre önce FTC’ye siber güvenlik uygulamaları hakkında yeminli ifade veren Sullivan’ın, Uber’in güvenlik yenilemesinin kapsamı konusunda kurumu yanılttığını savundu. Savcılar mahkemede “Onun, ‘Ah, hayır, bu tam olarak FTC’ye artık olmayacağını söylediğimiz türden bir şey’ dediğini fark ettiğini görebilirsiniz” dedi.
ABD hükümetinin kendisine karşı açtığı davaya yardımcı olmayı kabul eden Uber tarafından kovulduktan sonra Sullivan, Cloudflare’in CSO’su olarak katıldı. Hükümetin kendisine karşı suç duyurusunda bulunmasının ardından şirketten ayrıldı ve şu anda ABD merkezli, kar amacı gütmeyen, “ebeveynlerini kaybetmiş ve dizüstü bilgisayar alacak parası olmayan çocuklara dizüstü bilgisayar” vermeye adanmış Ukrayna Dostları örgütünün başında bulunuyor. Sullivan, güvenlik endişeleri veya okullarının yıkılması nedeniyle “Ukrayna’daki çocukların yarısının uzaktan eğitim gördüğünü” söyledi.
Sullivan’ın davasındaki savcıların 15 ay hapis cezası istemesine rağmen, Mayıs ayında ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinden Yargıç William Orrick, Sullivan’a davanın benzeri görülmemiş doğası nedeniyle “ve sizin iyiliğiniz nedeniyle hapis cezası vermeyeceğini” söyledi. karakter.”
Hakim, savcıların neden Uber’e karşı suçlamada bulunmadığını ve ihlal anında CEO’nun neden mahkeme salonuna gelmediğini sorguladı.
Hakim ayrıca, davanın güvenlik ekiplerinin işlerini yaptıkları için kovuşturulmasıyla ilgili olmadığını, daha ziyade savcıların Uber’in siber güvenlik uygulamalarını araştıran FTC’ye bildirilmesi gerektiğini kanıtladığı bir ihlale odaklandığını vurguladı.
Orrick, “Yarın benzer bir davayla karşılaşırsam, sanık Papa Francis karakterine sahip olsa bile hapse girerlerdi” dedi.
Sektör Olgunlaşmaya Hazır mı?
Sullivan’ı sahneye davet etmeden önce, bu alandaki ilk işi 1990’ların sonlarında artık faaliyet göstermeyen güvenlik duvarı üreticisi Computer Sciences Corp. olan Black Hat’in kurucusu ve yaratıcısı Jeff Moss şu soruyu sordu: “Bir endüstri olarak, bizi olgunlaşmaya mı zorluyorsun?”
Moss, tarihsel olarak cevabın “çok az” olduğunu, ancak bu durumun değişiyor gibi göründüğünü söyledi.
Moss, ABD’de CEO’ları mali tablolarının doğruluğundan kişisel olarak sorumlu tutan 2002 tarihli öncü yasaya atıfta bulunarak sektörün “kendi Sarbanes-Oxley çağımıza giriyor” olabileceğine inanıyor.
“Hükümet ‘Yeter artık’ diyene kadar daha ne kadar ihlale maruz kalacağız?” dedi Moss. “Sorumluluklarımızın değişmek üzere olduğuna inanıyorum. Bu yıl değişmeyebilir, ancak potansiyel faturalara ve ABD’de konuşulanlara bakarsanız değişecektir.”
Moss, ABD’deki değişimin internetle büyüyen milletvekilleri ve çalışanlarından ve belki de kripto para birimlerinin düzenleyicilerin dikkatini çekmesinden ve kanun yapıcılara dijital olan her şeyle ilgilenme konusunda daha büyük bir iştah vermesinden kaynaklandığını söyledi.