4 Mayıs’ta Kaliforniya’daki bir federal yargıç, eski Uber baş bilgi güvenliği yetkilisi Joseph Sullivan’ı, 50 milyondan fazla müşterinin verilerinin açığa çıktığı 2016 veri ihlalini örtbas etmedeki rolü nedeniyle üç yıl denetimli serbestliğe mahkum etti.
ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinden Yargıç William Orrick de Sullivan’a 50.000 dolar para cezası ödemesine ve 200 saat toplum hizmeti yapmasına karar verdi.
Şanslı Bir Mola
Sullivan’ı Uber’deki daha geniş bir güvenlik başarısızlığı için düşen adam olarak gören sektördeki bazı kişiler için hapis cezası olmaması muhtemelen bir tür rahatlama olarak gelecek. 15 ay hapis cezasını savunan davadaki savcılar da dahil olmak üzere diğerleri, cezanın yüksek riskli durumlarda yöneticilerin benzer davranışlarını caydırmak için yeterli olmadığını düşüneceklerdir.
Yargıç Orrick, cezayı verirken, diğer siber güvenlik liderlerinin Sullivan’ın yaptığı gibi ondan önce gelmeleri durumunda bu kadar şanslı olmayacaklarını açıkça belirtmek için hiçbir şey söylememiş gibi görünüyor.
Yargıç Orrick’in mahkumiyet sırasında bazı medya kuruluşlarına aktardığına göre, “Yarın benzer bir davam olsaydı, sanık Papa Francis karakterine sahip olsa bile hapse gireceklerdi.” “Dışarı çıkıp arkadaşlarınla, CISO’larınla konuştuğunda, onlara yaptığın şey yüzünden, hatta kim olduğun için değil, bunun alışılmadık bir kereye mahsus olduğu için ara verdiğini söylüyorsun. “
Bir İhlalin Bildirilmemesi ve Gizlenmesi
Federal bir jüri, Sullivan’ı Kasım 2016’da Uber’de araç paylaşım devindeki yaklaşık 57 milyon müşteriye ve 600.000 sürücüye ait verileri açığa çıkaran bir veri ihlaliyle ilgili iki ağır suçtan suçlu buldu. Sayımlardan biri, Sullivan’ın o sırada Uber’de 2014’te daha önceki bir ihlali araştıran Federal Ticaret Komisyonu yetkililerinden ihlali aktif olarak gizlemesiyle ilgiliydi. Federal savcılar, Sullivan’ı, 2014 ihlali hakkında yeminli ifade vermesine rağmen, FTC müfettişlerinden kasten 2016 ihlalini saklamakla ve gizlemekle suçladı.
Jürinin Sullivan’ı mahkum ettiği ikinci suçlama, bir ağır suçu yanlış yorumlamaktan veya Uber’deki yöneticiler de dahil olmak üzere başkalarından 2016 ihlalini örtbas etmeye çalışmaktı. Savcılar, Sullivan’ın bunu, ihlalden sorumlu iki bilgisayar korsanına bunu kamuya açıklamalarını engellemek için 100.000 dolar ödeyerek yaptığını söyledi. Güvenlik ekibinin diğer üyeleriyle birlikte çalışan Sullivan, bilgisayar korsanlarının Uber’in resmi böcek ödül programı aracılığıyla ödeme almalarını sağladı ve ardından bilgisayar korsanlarına, özünde sessizliklerini satın almak için ek bir gizlilik sözleşmesi (NDA) imzalamalarını sağladı. Bilgisayar korsanları, parayı almak için Uber’de hiçbir hassas veriye erişmediklerini kabul ettiler, oysa aslında öyleydi.
Ödül, Uber’in o zamana kadar böcek ödül programı kapsamında araştırmacılara ödediği en büyük ödüldü. Savcılar, Sullivan’ın ihlali gizlemek için ne kadar ileri gittiğini vurgularken, ek NDA aynı zamanda Uber’in böcek avcılarından böyle bir şartı ilk kez zorunlu kıldığını söyledi. Savcılar ceza muhtıralarında, FTC’nin soruşturması ve Uber’in siber güvenlik programı bilgisi şirketteki bir siloda bulunduğu için Sullivan’ın planından neredeyse paçayı sıyırdığını kaydetti. Şirkette yalnızca birkaç kişi ihlalin önemini biliyordu ve Ağustos 2017’de Uber’e yeni bir CEO – Dara Khosrowshahi – gelmemiş olsaydı, olayın bir sır olarak kalacağını belirttiler.
Denetimli Serbestlik Argümanları
Sullivan’ın geçen yılki duruşmasında Khosrowshahi, Sullivan’ın 2016 veri ihlaliyle ilgili bir e-postada kendisini yanıltmaya çalıştığını öğrendikten sonra 2017’de kovduğunu söyledi. Uber CEO’su, Sullivan’ın ihlali ifşa etmeme kararının “yanlış karar” olduğunu düşündüğü için olayla ilgili düzenleyicileri bilgilendirmeye karar verdiğini söyledi.
Sullivan’ın avukatları, denetimli serbestlik cezası için yalvarırken, savcıların eski CISO’ların bazı açıklamalarının ve eylemlerinin sonuçlarını abarttıklarını savundu. Sullivan’ın o sırada Uber’in CEO’su olan Travis Kalanick’i ve Uber’in hukuk ekibinin bazı üyelerini neler olup bittiği hakkında tam olarak bilgilendirdiğini belirttiler (Kalanick, Uber hissedarlarının ilgisiz konulardaki baskısı nedeniyle 2017’de istifa etti). Sullivan’ın avukatları ayrıca hükümetin Sullivan’ın NDA’yı bilgisayar korsanlarından almasının nedenini yanlış nitelendirdiğini savundu ve asıl nedenin, Sullivan’ın eriştikleri hassas verileri ifşa etmeyeceklerinden emin olmak istemesiyle ilgili olduğunu söylediler.
Uber’in kendisi duruşmaya katılmadı ve Kalanick de katılmadı.
Hüküm verilirken Yargıç Orrick, Sullivan’ın meslektaşlarından, arkadaşlarından ve ailesinden 186 mektup aldığını kaydetti – bazıları hoşgörüyü savunurken, diğerleri hapis cezası talep ediyor. Görünüşe göre denetimli serbestlik isteyen mektuplardan biri Kalanick’tendi.
Dark Reading için ihlalden CISO’lar için çıkarımlar üzerine yazan SafeBreach CISO’su Avishai Avivi, Yargıç Orrick’in cezasını dengeli ve uygun buluyor.
Avivi, “Yargıç Orrick, Bay Sullivan’ın halka ve özellikle bilgi güvenliği alanına uzun vadeli katkısını destekleyen pek çok mektubu dikkate aldı” diyor. “Yargıç Orrick, eski Uber CEO’su Travis Kalanick’in Joe Sullivan kadar ‘suçlu’ olduğunu not etti.”
İhlal Tepkisi Bir Takım Sporudur
Avivi, kuruluşların CISO’ların şirketlerde oynadıkları merkezi rolü yeniden teyit etmeleri ve onlarla birlikte siber güvenliğin sorumluluğunu üstlenmeleri için iyi bir zaman olduğunu söylüyor. “Ayrıca, CISO’nun ihlal edilmeden önce bir acil durum planı oluşturması ve uygulamaya koyması, ihlal edildiğinde mali ve operasyonel yansımaları en aza indirmesi de önemlidir.”
Tanium Amerika’da CISO’dan Christopher Hallenbeck, buradaki temel çıkarımın, ihlal yanıtının birden fazla yöneticiyi içeren bir takım sporu olduğu olduğunu söylüyor. Bir ihlali bildirmemek yeterince kötü, ancak bunu saklamak daha da kötü, diyor.
Hallenbeck, “Çeşitli tarihsel nedenlerle, CISO’lar, sorunu kendileri çözmeye çalışırken sessiz kalma görevini üstlendi.” “Etik olmayan veya muhtemelen yasa dışı bir şekilde hareket etmeniz istenir veya baskı altına alınırsa, çekip gitmeye ve/veya düdük çalmaya hazır olun.”