Juez ahorra tiempo en la cárcel al ex CISO de Uber por cargos de violación de datos de 2016

El 4 de mayo, un juez federal de California condenó al exdirector de seguridad de la información de Uber, Joseph Sullivan, a tres años de libertad condicional por su papel en el encubrimiento de una filtración de datos en 2016 que expuso datos de más de 50 millones de clientes.

El juez William Orrick del Tribunal Federal de Distrito para el Distrito Norte de California también ordenó a Sullivan pagar una multa de $50,000 y realizar 200 horas de servicio comunitario.

Un descanso afortunado

Es probable que la sentencia sin tiempo de prisión sea una especie de alivio para algunos dentro de la industria que habían percibido a Sullivan como el chivo expiatorio de una falla de seguridad más amplia en Uber. Otros, incluidos los fiscales del caso que habían defendido una 15 meses de prisión, probablemente considerará que la sentencia no hace lo suficiente para disuadir un comportamiento similar de los ejecutivos en situaciones de alto riesgo.

Al dictar la sentencia, el propio juez Orrick parece no haber escatimado palabras al dejar en claro que otros líderes de seguridad cibernética no serían tan afortunados si terminaran antes que él como lo hizo Sullivan.

“Si tengo un caso similar mañana, aunque el acusado tuviera el carácter del Papa Francisco, iría a prisión”, algunos medios de comunicación citó al juez Orrick durante la sentencia. “Cuando sales y hablas con tus amigos, con tus CISO, les dices que obtuviste un descanso no por lo que hiciste, ni siquiera por quién eres, sino porque esto fue algo excepcional. ”

No informar y ocultar una infracción

un jurado federal encontró a Sullivan culpable en octubre pasado en dos cargos de delitos graves relacionados con una violación de datos en Uber en noviembre de 2016 que expuso datos pertenecientes a unos 57 millones de clientes y 600,000 conductores en el gigante de viajes compartidos. Uno de los cargos tenía que ver con Sullivan ocultando activamente la violación de los funcionarios de la Comisión Federal de Comercio que, en ese momento, estaban investigando una violación anterior de 2014 en Uber. Los fiscales federales acusaron a Sullivan de retener y ocultar deliberadamente la violación de 2016 a los investigadores de la FTC incluso cuando les brindó testimonio bajo juramento sobre la violación de 2014.

El segundo cargo por el cual el jurado condenó a Sullivan fue por cometer un delito grave o por trabajar para encubrir la violación de 2016 de otros, incluidos los ejecutivos de Uber. Los fiscales dijeron que Sullivan hizo esto pagando $100,000 a los dos piratas informáticos responsables de la violación, para evitar que lo hicieran público. Sullivan, trabajando con otros miembros de su equipo de seguridad, hizo arreglos para que los piratas informáticos recibieran el pago a través del programa oficial de recompensas por errores de Uber y luego logró que los piratas informáticos firmaran un acuerdo de no divulgación (NDA) complementario, en esencia para comprar su silencio. Para recibir el dinero, los piratas informáticos acordaron que no habían accedido a ningún dato confidencial en Uber, cuando, de hecho, lo habían hecho.

La recompensa fue la más grande que Uber había pagado a los investigadores bajo su programa de recompensas por errores hasta ese momento. La NDA complementaria también fue la primera vez que Uber ordenó tal requisito a los cazadores de errores, dijeron los fiscales al resaltar los extremos a los que Sullivan llegó para ocultar la violación. En su memorando de sentencia, los fiscales señalaron que Sullivan casi se sale con la suya porque el conocimiento de la investigación de la FTC y del programa de seguridad cibernética de Uber existía dentro de un silo en la empresa. Solo unas pocas personas en la empresa conocían la importancia de la filtración, y si no hubiera sido por la llegada de un nuevo CEO a Uber, Dara Khosrowshahi, en agosto de 2017, el incidente habría permanecido en secreto, señalaron.

Argumentos a favor de la libertad condicional

En el juicio de Sullivan el año pasado Khosrowshahi dijo que despidió a Sullivan en 2017 después de descubrir que este último había intentado engañarlo en un correo electrónico sobre la violación de datos de 2016. El CEO de Uber dijo que decidió informar a los reguladores sobre el incidente porque sintió que la decisión de Sullivan de no revelar la violación “fue una decisión equivocada”.

Al solicitar una sentencia de libertad condicional, los abogados de Sullivan argumentaron que los fiscales habían exagerado las implicaciones de algunas de las declaraciones y acciones del ex CISO. Señalaron que Sullivan había mantenido a Travis Kalanick, el director ejecutivo de Uber en ese momento, y a algunos miembros del equipo legal de Uber completamente informados sobre lo que estaba sucediendo (Kalanick renunció en 2017 bajo la presión de los accionistas de Uber sobre asuntos no relacionados). Los abogados de Sullivan también argumentaron que el gobierno había tergiversado la razón por la que Sullivan obtuvo la NDA de los piratas informáticos y dijeron que la verdadera razón tenía que ver con su deseo de asegurarse de que no divulgarían los datos confidenciales a los que habían accedido.

Uber en sí no participó en la prueba, y tampoco Kalanick.

En la sentencia, el juez Orrick señaló que había recibido 186 cartas de los compañeros, amigos y familiares de Sullivan, algunas pidiendo indulgencia y otras pidiendo tiempo en prisión. Una de las cartas que pedían libertad condicional aparentemente era de Kalanick.

Avishai Avivi, CISO en SafeBreach que escribió para Dark Reading en el Conclusiones para los CISO del incumplimiento, califica la sentencia del juez Orrick de equilibrada y adecuada.

“El juez Orrick tomó en consideración las muchas cartas en apoyo de la contribución a largo plazo del Sr. Sullivan al público y al campo de la seguridad de la información en particular”, dice Avivi. "El juez Orrick notó que el ex director general de Uber, Travis Kalanick, era 'tan culpable' como Joe Sullivan".

La respuesta ante infracciones es un deporte de equipo

Avivi dice que este es un buen momento para que las organizaciones reafirmen el papel central que juegan los CISO en las empresas y se den cuenta de que la responsabilidad de la ciberseguridad se detiene con ellos. “También es importante que el CISO cree y ponga en marcha un plan de contingencia antes de que sean violados, para minimizar las consecuencias financieras y operativas cuando lo hagan”.

Christopher Hallenbeck, CISO, Americas at Tanium, dice que la conclusión clave aquí es que la respuesta a las infracciones es un deporte de equipo que involucra a varios ejecutivos. No denunciar una infracción ya es suficientemente malo, pero ocultarla es peor, dice.

“Por varias razones históricas, los CISO asumieron la tarea de mantener las cosas en silencio mientras intentaban solucionar el problema por sí mismos”, señala Hallenbeck. “Si te piden o te presionan para que actúes de manera poco ética o posiblemente ilegal, prepárate para alejarte y/o hacer sonar el silbato”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/judge-spares-former-uber-ciso-jail-time-over-2016-data-breach-charges