Avukatları bu hafta yaptıkları itirazda, eski Uber CISO Joseph Sullivan’ın bu yılın başlarında şirkette 2016’da meydana gelen bir veri ihlaliyle ilgili suçlamalar nedeniyle mahkumiyetinin, kurumsal kuruluşlar arasında hata ödül programlarının kullanımını tehdit etmesi nedeniyle geçerli olmasına izin verilmemesi gerektiğini savundu.
Salı günü ABD Dokuzuncu Daire Temyiz Mahkemesi’ne sunulan bir özette Sullivan’ın hukuk ekibi, Sullivan’ı Uber’in güvenlik şefi olarak sorumluluklarına ilişkin zayıf teorilere dayanan “son derece kusurlu” bir kararın kurbanı olarak tanımladı.
‘Son Derece Kusurlu’ Karar
Orrick hukuk firmasından avukatlarından Aravind Swaminathan yaptığı açıklamada, “Joe Sullivan, yüz binlerce Uber sürücüsünün verilerini korumak için tüm CISO’ların kullandığı araç ve stratejileri kullandı ve işini yaptığı için yargılandı” dedi. “Eğer [the verdict] ayakta kalmasına izin verilirse, bu, tüm sektörlerdeki güvenlik ekiplerinin sistemlerini daha iyi korumalarına yardımcı olan ve Amerikalıları çok daha fazla zarar görme riskiyle karşı karşıya bırakan değerli bir aracı ellerinden alma tehdidinde bulunan bir emsaldir.”
Geçtiğimiz Ekim ayında bir federal jüri, Sullivan’ı, 2016 yılında Uber’de 50 milyondan fazla müşterinin ve 600.000 sürücünün hassas verilerinin açığa çıkmasına neden olan bir ihlalle bağlantılı olarak adaleti engellemek ve ağır bir suçun yanlış okunmasından – veya bunu gizlemeye çalışmaktan – suçlu buldu.
İhlal, Federal Ticaret Komisyonu’nun (FTC) 2014’ün başlarında Uber’de yaklaşık 50.000 kişiye ait kişisel bilgilerin ele geçirilmesini içeren güvenlik olayıyla ilgili soruşturmasının ortasında meydana geldi.
Savcılar, Uber’in 2014’teki ihlalden sonra CISO olarak işe aldığı Sullivan’ı, müfettişleri şirketin veri güvenliği ve gizlilik uygulamalarını incelerken bile 2016’daki olayla ilgili bilgileri FTC’den saklamakla suçladı. Hükümet, Sullivan’ın 2016’daki olayı FTC’ye bildirmesi gerektiğini savundu ancak bunun yerine olayı onlardan gizlemek için elinden geleni yaptı.
Bug Bounty Programlarının Kusurlu Anlaşılması
Savcılar ayrıca Sullivan’ı, uzlaşmanın arkasındaki iki hackerın sessizliğini satın almak için 100.000 dolar ödeyerek ihlali gizlemeye çalışmakla da suçladı. Sullivan, ödemeyi, diğer şirketlerin güvenlik açıklarını ve diğer güvenlik sorunlarını kendilerine bildiren araştırmacılara rutin olarak yaptıkları ödüle benzer bir hata ödülü olarak nitelendirmişti. Avukatları, Sullivan’ın ödemeyi Uber’in o zamanki CEO’su Travis Kalanick ve araç paylaşımı devinin hukuk ekibinin diğer üyelerinin bilgisi ve onayıyla yaptığını belirtti.
Ancak savcılar, Sullivan’ın ekibinin hackerlardan imzalamasını istediği ödemeyi ve bununla bağlantılı bir gizlilik anlaşmasını, aslında Uber’in ağının ağır bir ihlalini örtbas etme girişimi olarak tanımladı.
Mayıs 2023’teki jüri kararının ardından, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinden Yargıç William Orrick, Sullivan’ı üç yıl denetimli serbestlik ve 200 saat toplum hizmetine mahkum etti ve 50.000 dolar para cezası ödemesine karar verdi.
Güvenlik Başarısızlıklarının Günah Keçisi mi?
Sullivan’ın kaderi, CISO’ları şirketlerindeki daha geniş güvenlik başarısızlıklarının günah keçisi olarak gören birçok meslektaşı ve sektördeki diğer kişileri sinirlendirdi. Birçoğu, Sullivan’ın amirlerinin tam bilgisi dahilinde hareket ettiğini, ancak sonunda ihlalin ve suçlandığı ilgili başarısızlıkların tek suçlusu haline geldiğini savundu ve tartışmaya devam ediyor. Eğer Sullivan, 2016’daki ihlali FTC’ye bildirmemesinden ve iddia edilen gizli ödemeden dolayı suçlu tutulabilecekse, o zaman en azından Kalanick’in ve muhtemelen diğerlerinin de suçlu tutulması gerektiğine inanıyorlardı.
Bu, Sullivan’ın avukatlarının bu hafta engelleme mahkumiyetine itirazlarında bir kez daha gündeme getirdikleri bir argüman. “Bay Sullivan, FTC’ye sunulan herhangi bir taslağın hazırlanması veya imzalanması da dahil olmak üzere, FTC’nin soruşturmasından Uber’de sorumlu olmamasına rağmen, hükümet onu, Bay Sullivan’ın Bay Sullivan hakkında bilgi sahibi olan 30’dan fazla iş arkadaşı arasında seçti. Sullivan’ın FTC’den saklandığı iddia ediliyor” dedi Swaminathan.
Temyiz başvurusu benzer şekilde, diğer kuruluşların güvenlik stratejilerinin temel bir parçası haline getirdiği bir uygulama olan hata ödül programlarını suç saydığını ileri sürerek, yanlış okuma mahkumiyetine de itiraz etti. Sullivan’ın avukatları, eski Uber CISO’sunun, iki bilgisayar korsanının verilere nasıl eriştiklerini açıklamasını ve verileri kamuya açıklamama konusunda anlaşmaya varmalarını sağlamak için programdan etkili bir şekilde yararlandığını savundu.
Yaygın Olarak Kullanılan Bir Taktiğin Kriminalleştirilmesi
Özette, hata ödül programının olması gerektiği gibi çalıştığı iddia edildi. İtirazda, “Bay Sullivan ve ekibi 2016’daki olayı Bug Bounty anlaşmasıyla tamamen çözdü” ifadesine yer verildi. Brifingde, “İki genç adam, güvenlik açığını açıklamayı, indirdikleri 600.000 ehliyet numarasını içeren veri tabanını yok etmeyi ve verileri veya olayı kamuya açıklamamayı kabul etti” dedi. “Uber 100.000 dolar ödül ödedi ve hiçbir yasal işlem başlatmadı. Hiçbir veri ifşa edilmedi. Hiçbir Uber kullanıcısı yaralanmadı. Bay Sullivan ve ekibi işlerini yapmıştı.”
Özette, hükümetin Sullivan’ın yaptığını suç olarak nitelendirerek aslında jüriden hata ödülü anlaşmasını güvenlik risklerini azaltmanın etkili bir yolu olarak değil, gizli para ödemesi olarak görmesini istediği iddia edildi.
Orrick’in genel müdürü David Chamberlin, Dark Reading’e yaptığı açıklamada, “Kayıtlarla sınırlı olduğumuz için yeni yasal argümanlar veya kanıtlar ortaya atmıyoruz” diyor. “Ancak temyiz, bir bireyin örgütsel kararlar, eylemler ve eylemsizliklerden dolayı ne zaman cezai açıdan sorumlu tutulabileceğine ilişkin temel yasal sınırlamaları vurguluyor.” Aynı zamanda “hata ödül programlarının önemi ve bunların faaliyet gösterdiği belirsiz gerçek ortamlar ve yasal çerçeveler hakkında nüanslar” da ekliyor.
Hükümetin yanıtı 9 Kasım’a kadar verilecek ve Sullivan’ın buna 30 Kasım’a kadar yanıt verme fırsatı olacak. Temyiz davasındaki sözlü tartışmaların 2024 baharında başlaması bekleniyor ve bu yılın ortasına kadar bir karar alınmayacak. – 2024’ün sonuna kadar, diyor Chamberlin.