Den 4. maj dømte en føderal dommer i Californien den tidligere Uber-chef for informationssikkerhed, Joseph Sullivan, til tre års betinget fængsel for hans rolle i at dække over et databrud i 2016, der afslørede data om mere end 50 millioner kunder.
Dommer William Orrick fra US District Court for Northern District of California beordrede også Sullivan til at betale en bøde på 50,000 USD og udføre 200 timers samfundstjeneste.
En heldig pause
Straffen uden fængsel vil sandsynligvis komme som en slags lettelse for nogle inden for branchen, der havde opfattet Sullivan som efterårets fyr for en bredere sikkerhedsfejl hos Uber. Andre, herunder anklagere i sagen, der havde argumenteret for en 15 måneders fængsel, vil sandsynligvis betragte dommen som ikke at gøre nok for at afskrække lignende adfærd fra ledere i situationer med høj indsats.
Da han afsagde dommen, ser det ud til, at dommer Orrick ikke selv har skåret nogle ord for at gøre det klart, at andre cybersikkerhedsledere ikke ville være så heldige, hvis de endte før ham, som Sullivan gjorde.
"Hvis jeg har en lignende sag i morgen, selv hvis den tiltalte havde karakteren af pave Frans, ville de komme i fængsel," nogle medier citerede dommer Orrick for at sige under domsafsigelsen. "Når du går ud og taler med dine venner, med dine CISO'er, fortæller du dem, at du fik en pause, ikke på grund af det, du gjorde, ikke engang på grund af, hvem du er, men fordi det her var bare sådan en usædvanlig engang. ”
Ikke at rapportere og skjule et brud
En føderal jury fundet Sullivan skyldig i oktober sidste år på to forbrydelsesforhold relateret til et databrud hos Uber i november 2016, der afslørede data tilhørende omkring 57 millioner kunder og 600,000 chauffører hos samkørselsgiganten. En af anklagerne havde at gøre med, at Sullivan aktivt skjulte bruddet for embedsmænd fra Federal Trade Commission, som på det tidspunkt undersøgte et tidligere brud i 2014 hos Uber. Føderale anklagere anklagede Sullivan for bevidst at tilbageholde og skjule bruddet i 2016 fra FTC-efterforskere, selv da han aflagde edsvoren vidnesbyrd til dem om bruddet i 2014.
Den anden anklage, som juryen dømte Sullivan på, var for fejlfængsling af en forbrydelse eller for at arbejde på at dække over 2016-overtrædelsen fra andre, herunder ledere hos Uber. Anklagere sagde, at Sullivan gjorde dette ved at betale $100,000 til de to hackere, der var ansvarlige for bruddet, for at forhindre dem i at offentliggøre det. Sullivan, der arbejdede sammen med andre medlemmer af sit sikkerhedsteam, sørgede for, at hackerne kunne modtage betaling via Ubers officielle bug bounty-program og fik derefter hackerne til at underskrive en supplerende fortrolighedserklæring (NDA), i det væsentlige for at købe deres tavshed. For at modtage pengene indvilligede hackerne i, at de ikke havde adgang til nogen følsomme data hos Uber, mens de faktisk havde.
Dusøren var den største, som Uber nogensinde havde betalt forskere under sit bug-bounty-program indtil da. Den supplerende NDA var også første gang, at Uber havde pålagt et sådant krav fra bugsjægere, sagde anklagere, da de fremhævede, hvor langt Sullivan gik for at skjule bruddet. I deres strafudmålingsnotat bemærkede anklagere, at Sullivan næsten slap af sted med sin plan, fordi kendskab til FTC's undersøgelse og om Ubers cybersikkerhedsprogram eksisterede i en silo hos virksomheden. Kun få personer i virksomheden vidste om betydningen af bruddet, og havde det ikke været for ankomsten af en ny administrerende direktør hos Uber - Dara Khosrowshahi - i august 2017, ville hændelsen være forblevet en hemmelighed, bemærkede de.
Argumenter for prøvetid
Ved Sullivans retssag sidste år Khosrowshahi sagde, at han fyrede Sullivan i 2017 efter at have fundet ud af, at sidstnævnte havde forsøgt at vildlede ham i en e-mail om databruddet i 2016. Ubers administrerende direktør sagde, at han besluttede at informere tilsynsmyndighederne om hændelsen, fordi han mente, at Sullivans beslutning om ikke at afsløre bruddet "var den forkerte beslutning."
I bøn om en prøvetidsdom hævdede Sullivans advokater, at anklagere havde overvurderet implikationerne af nogle af de tidligere CISOs udtalelser og handlinger. De bemærkede, at Sullivan havde holdt Travis Kalanick, Ubers administrerende direktør på det tidspunkt, og nogle medlemmer af Ubers juridiske team fuldt informeret om, hvad der foregik (Kalanick trådte tilbage i 2017 under pres fra Ubers aktionærer om ikke-relaterede spørgsmål). Sullivans advokater hævdede også, at regeringen havde miskarakteriseret årsagen til, at Sullivan fik NDA fra hackerne og sagde, at den egentlige årsag var at gøre med, at han ville sikre, at de ikke ville frigive de følsomme data, de havde adgang til.
Uber selv deltog ikke i retssagen, og det gjorde Kalanick heller ikke.
Ved domsafsigelsen bemærkede dommer Orrick, at han havde modtaget 186 breve fra Sullivans jævnaldrende, venner og familie - nogle argumenterede for mildhed, og andre opfordrede til fængselsstraf. Et af brevene med krav om en prøvetid var tilsyneladende fra Kalanick.
Avishai Avivi, CISO hos SafeBreach, der skrev til Dark Reading på takeaways for CISO'er fra bruddet, kalder dommer Orricks dom velafbalanceret og passende.
"Dommer Orrick tog de mange breve til støtte for Mr. Sullivans langsigtede bidrag til offentligheden og informationssikkerhedsområdet i særdeleshed," siger Avivi. "Dommer Orrick bemærkede, at den tidligere Uber-chef Travis Kalanick var 'lige så skyldig' som Joe Sullivan."
Breach Response er en holdsport
Avivi siger, at dette er et godt tidspunkt for organisationer til at bekræfte den centrale rolle, CISO'er spiller i virksomheder, og til at indse, at cybersikkerheden stopper med dem. "Det er også vigtigt, at CISO opretter og indfører en beredskabsplan, før de bliver overtrådt, for at minimere det økonomiske og operationelle nedfald, når de gør det."
Christopher Hallenbeck, CISO, Americas hos Tanium, siger, at det vigtigste her er, at brudrespons er en holdsport, der involverer flere ledere. Ikke at anmelde et brud er slemt nok, men at skjule det er værre, siger han.
"Af forskellige historiske årsager påtog CISO'er denne opgave med at holde tingene stille, mens de forsøgte at løse problemet selv," bemærker Hallenbeck. "Hvis du bliver bedt om eller presset til at handle uetisk eller muligvis ulovligt, så vær parat til at gå væk og/eller fløjte."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/judge-spares-former-uber-ciso-jail-time-over-2016-data-breach-charges
- :er
- :ikke
- $OP
- 000
- 200
- 2014
- 2016
- 2017
- 50
- 7
- a
- Om
- af udleverede
- Lov
- aktioner
- aktivt
- Efter
- Aftale
- også
- Amerika
- an
- ,
- enhver
- kommer til syne
- passende
- ER
- anbragt
- ankomst
- AS
- At
- forsøgt
- AUGUST
- væk
- Axios
- Bad
- BE
- fordi
- været
- før
- blæse
- Bounty
- bounty program
- brud
- Pause
- bredere
- Bug
- bug bounty
- men
- købe
- by
- california
- ringer
- Opkald
- tilfælde
- central
- Direktør
- karakter
- opladet
- afgifter
- chef
- informationssikkerhedschef
- CISO
- klar
- Kom
- Kommissionen
- samfund
- Virksomheder
- selskab
- overvejelse
- bidrag
- Ret
- dæksel
- dækker
- skabe
- Kunder
- Cybersecurity
- mørk
- Mørk læsning
- data
- bruddet
- besluttede
- beslutning
- DID
- offentliggøre
- distrikt
- byretten
- do
- gør
- ned
- drivere
- i løbet af
- tidligere
- nok
- sikre
- Essensen
- Endog
- NOGENSINDE
- ledere
- udsat
- Manglende
- Fall
- nedfald
- familie
- Federal
- Federal Trade Commission
- felony
- få
- felt
- finansielle
- finde
- ende
- Fornavn
- første gang
- Fix
- Til
- Tidligere
- heldig
- Francis
- venner
- fra
- FTC
- fuldt ud
- få
- kæmpe
- Go
- gå
- godt
- Regering
- skyldig
- Guy
- hackere
- havde
- Have
- he
- link.
- fremhæve
- hans
- historisk
- HOURS
- HTML
- HTTPS
- i
- if
- ulovligt
- implikationer
- vigtigt
- in
- hændelse
- Herunder
- industrien
- informere
- oplysninger
- informationssikkerhed
- informeret
- ind
- undersøgelse
- Efterforskere
- spørgsmål
- IT
- ITS
- selv
- fængsel
- FÆNGSELSTID
- JOE
- jpg
- dommer
- lige
- Holde
- holde
- Nøgle
- viden
- største
- Efternavn
- Sidste år
- Advokater
- ledere
- Politikker
- juridiske hold
- ligesom
- Sandsynlig
- langsigtet
- Making
- mange
- Matters
- Kan..
- Medlemmer
- Memorandum
- million
- penge
- mere
- mr
- flere
- Ingen
- Ny
- Ny administrerende direktør
- ingen
- bemærkede
- Noter
- november
- opnå
- of
- Officer
- officiel
- embedsmænd
- on
- ONE
- kun
- operationelle
- or
- organisationer
- Andet
- Andre
- ud
- i løbet af
- betalt
- deltage
- særlig
- Betal
- betale
- betaling
- Mennesker
- opfattet
- Place
- fly
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- eventuelt
- forberedt
- tryk
- fængsel
- Program
- anklagere
- forudsat
- offentlige
- sætte
- RE
- Læsning
- ægte
- indse
- grund
- årsager
- modtage
- modtaget
- Regulators
- relaterede
- frigive
- relief
- forblevet
- Rapportering
- krav
- forskere
- resigneret
- svar
- ansvarlige
- roller
- s
- Said
- siger
- siger
- Anden
- Secret
- sikkerhed
- følsom
- dømme
- dømt
- tjeneste
- underskrive
- betydning
- Silence
- lignende
- situationer
- So
- nogle
- Sport
- Statement
- stopper
- sådan
- Sullivan
- support
- Tal
- Opgaver
- hold
- fortælle
- vidnesbyrd
- end
- at
- oplysninger
- deres
- Them
- selv
- derefter
- de
- ting
- denne
- tre
- til
- tid
- til
- i morgen
- tog
- handle
- retssag
- to
- Uber
- under
- us
- forskellige
- via
- Specifikation
- ønsker
- var
- var
- Hvad
- hvornår
- som
- mens
- WHO
- vilje
- med
- inden for
- ord
- arbejder
- værre
- ville
- Forkert
- år
- år
- Du
- Din
- zephyrnet
