Juiz poupa prisão de ex-CISO do Uber por acusações de violação de dados em 2016

Em 4 de maio, um juiz federal da Califórnia condenou o ex-chefe de segurança da informação do Uber, Joseph Sullivan, a três anos de liberdade condicional por seu papel no encobrimento de uma violação de dados em 2016 que expôs dados de mais de 50 milhões de clientes.

O juiz William Orrick, do Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, também ordenou que Sullivan pagasse uma multa de $ 50,000 e cumprisse 200 horas de serviço comunitário.

Uma pausa feliz

A sentença sem prisão provavelmente será uma espécie de alívio para alguns dentro do setor que perceberam Sullivan como o bode expiatório de uma falha de segurança mais ampla no Uber. Outros, incluindo os promotores do caso, que haviam defendido uma 15 meses de prisão, provavelmente verá a sentença como não fazendo o suficiente para impedir um comportamento semelhante por parte dos executivos em situações de alto risco.

Ao proferir a sentença, o próprio juiz Orrick parece não ter medido palavras para deixar claro que outros líderes de segurança cibernética não teriam tanta sorte se acabassem antes dele como Sullivan.

“Se eu tivesse um caso semelhante amanhã, mesmo que o réu tivesse o caráter do Papa Francisco, eles iriam para a prisão”, alguns meios de comunicação citou o juiz Orrick como tendo dito durante a sentença. “Quando você sai e conversa com seus amigos, com seus CISOs, você diz a eles que conseguiu uma folga não por causa do que fez, nem mesmo por quem você é, mas porque foi algo incomum. ”

Não relatar e ocultar uma violação

um júri federal considerou Sullivan culpado em outubro passado em duas acusações criminais relacionadas a uma violação de dados no Uber em novembro de 2016 que expôs dados pertencentes a cerca de 57 milhões de clientes e 600,000 motoristas na gigante do compartilhamento de viagens. Uma das acusações tinha a ver com Sullivan ocultando ativamente a violação de funcionários da Comissão Federal de Comércio que, na época, estavam investigando uma violação anterior de 2014 no Uber. Os promotores federais acusaram Sullivan de reter e ocultar deliberadamente a violação de 2016 dos investigadores da FTC, mesmo quando ele prestou testemunho juramentado a eles sobre a violação de 2014.

A segunda acusação pela qual o júri condenou Sullivan foi por apreensão de um crime ou por trabalhar para encobrir a violação de 2016 de outros, incluindo executivos da Uber. Os promotores disseram que Sullivan fez isso pagando US$ 100,000 aos dois hackers responsáveis ​​pela violação, para impedi-los de torná-la pública. Sullivan, trabalhando com outros membros de sua equipe de segurança, providenciou para que os hackers recebessem o pagamento por meio do programa oficial de recompensas por bugs do Uber e, em seguida, fez com que os hackers assinassem um acordo suplementar de confidencialidade (NDA), basicamente para comprar seu silêncio. Para receber o dinheiro, os hackers concordaram que não haviam acessado nenhum dado sensível no Uber, quando, na verdade, haviam.

A recompensa foi a maior que o Uber já pagou aos pesquisadores em seu programa de recompensas por bugs até aquele momento. O NDA suplementar também foi a primeira vez que o Uber impôs tal requisito aos caçadores de bugs, disseram os promotores ao destacar os esforços que Sullivan fez para ocultar a violação. Em seu memorando de sentença, os promotores observaram que Sullivan quase escapou com seu plano porque o conhecimento da investigação da FTC e do programa de segurança cibernética da Uber existia dentro de um silo na empresa. Apenas algumas pessoas na empresa sabiam da importância da violação e, se não fosse pela chegada de um novo CEO à Uber – Dara Khosrowshahi – em agosto de 2017, o incidente teria permanecido em segredo, observaram.

Argumentos para liberdade condicional

No julgamento de Sullivan no ano passado Khosrowshahi disse que demitiu Sullivan em 2017, depois de descobrir que este último havia tentado enganá-lo em um e-mail sobre a violação de dados de 2016. O CEO da Uber disse que decidiu informar os reguladores sobre o incidente porque sentiu que a decisão de Sullivan de não divulgar a violação “foi a decisão errada”.

Ao pedir uma sentença de liberdade condicional, os advogados de Sullivan argumentaram que os promotores haviam exagerado as implicações de algumas das declarações e ações do ex-CISO. Eles observaram que Sullivan manteve Travis Kalanick, CEO da Uber na época, e alguns membros da equipe jurídica da Uber totalmente informados sobre o que estava acontecendo (Kalanick renunciou em 2017 sob pressão dos acionistas da Uber sobre assuntos não relacionados). Os advogados de Sullivan também argumentaram que o governo descaracterizou erroneamente o motivo de Sullivan obter o NDA dos hackers e disseram que o verdadeiro motivo tinha a ver com seu desejo de garantir que eles não divulgariam os dados confidenciais aos quais acessaram.

O próprio Uber não participou do julgamento, nem Kalanick.

Na sentença, o juiz Orrick observou que havia recebido 186 cartas de colegas, amigos e familiares de Sullivan - alguns pedindo clemência e outros pedindo pena de prisão. Uma das cartas pedindo liberdade condicional aparentemente era de Kalanick.

Avishai Avivi, CISO da SafeBreach, que escreveu para Dark Reading no conclusões para os CISOs da violação, considera a sentença do juiz Orrick bem equilibrada e apropriada.

“O juiz Orrick levou em consideração as muitas cartas em apoio à contribuição de longo prazo do Sr. Sullivan ao público e ao campo de segurança da informação em particular”, diz Avivi. “O juiz Orrick observou que o ex-CEO da Uber, Travis Kalanick, era 'tão culpado' quanto Joe Sullivan.”

A resposta à violação é um esporte de equipe

Avivi diz que este é um bom momento para as organizações reafirmarem o papel central que os CISOs desempenham nas empresas e perceberem que a responsabilidade da segurança cibernética para com eles. “Também é importante que o CISO crie e implemente um plano de contingência antes que eles sejam violados, para minimizar as consequências financeiras e operacionais quando isso acontecer.”

Christopher Hallenbeck, CISO da Tanium para as Américas, diz que a principal conclusão aqui é que a resposta a violações é um esporte de equipe que envolve vários executivos. Não relatar uma violação já é ruim o suficiente, mas escondê-la é pior, diz ele.

“Por várias razões históricas, os CISOs assumiram essa tarefa de manter as coisas silenciosas enquanto tentavam resolver o problema por conta própria”, observa Hallenbeck. “Se você for solicitado ou pressionado a agir de forma antiética ou possivelmente ilegal, esteja preparado para se afastar e/ou denunciar.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
• Fonte: https://www.darkreading.com/attacks-breaches/judge-spares-former-uber-ciso-jail-time-over-2016-data-breach-charges