Caso cibernético distorcido considera ex-chefe de segurança da Uber culpado de encobrimento de violação de dados

A condenação do ex-diretor de segurança da Uber Joseph Sullivan pode representar uma reavaliação arrepiante de como os principais agentes de segurança da informação (CISOs) e a comunidade de segurança lidam com as violações da rede daqui para frente.

segurança da Uber culpado
segurança da Uber culpado

Um júri federal de São Francisco em 5 de outubro. condenado Sullivan por não contar às autoridades americanas sobre um hack de 2016 dos bancos de dados da Uber. O juiz William H. Orrick não marcou uma data para a sentença.

O advogado de Sullivan, David Angeli, disse após o anúncio do veredicto que o único foco de seu cliente era garantir a segurança dos dados digitais pessoais das pessoas.

Os promotores federais observaram que o caso deve servir de alerta para as empresas sobre como cumprem as normas federais ao lidar com suas violações de rede.

Autoridades acusaram Sullivan de trabalhar para esconder a violação de dados dos reguladores dos EUA e da Comissão Federal de Comércio, acrescentando que suas ações tentaram impedir que os hackers fossem pegos.

Na época, a FTC já estava investigando a Uber após um hack de 2014. A repetição da invasão na rede da Uber dois anos depois envolveu os hackers enviando e-mails para Sullivan sobre o roubo de uma grande quantidade de dados. De acordo com o Departamento de Justiça dos EUA, eles prometeram excluir os dados se a Uber pagasse seu resgate.

A condenação é um precedente significativo que já enviou ondas de choque através da comunidade CISO. Ele destaca a responsabilidade pessoal envolvida em ser um CISO em um ambiente dinâmico de política, legal e atacante, observou Casey Ellis, fundador e CTO da Bugcrowd, uma plataforma de cibersegurança de fonte coletiva.

“Ele pede uma política mais clara em nível federal nos Estados Unidos em torno das proteções de privacidade e do tratamento de dados dos usuários, e enfatiza o fato de que uma abordagem proativa para o tratamento de informações de vulnerabilidade, em vez da abordagem reativa aqui, é um componente fundamental da resiliência para as organizações, suas equipes de segurança e seus acionistas, “, disse ele

Detalhes problemáticos

Uma tendência crescente é que as empresas vitimadas pelo ransomware negociem com hackers. Mas o discurso do julgamento mostrou os promotores lembrando as empresas a “fazer a coisa certa”, de acordo com relatos da mídia.

De acordo com as contas publicadas, a equipe de Sullivan confirmou o extenso roubo de dados. Incluía 57 milhões de registros roubados de usuários do Uber e 600.000 números de carteira de motorista.

O DoJ informou que Sullivan procurou o acordo dos hackers para receber US$ 100.000 em bitcoin. Esse acordo incluía hackers assinando um acordo de não divulgação para manter o hack longe do conhecimento público. A Uber supostamente escondeu a verdadeira natureza do pagamento como recompensa por bugs.

Apenas o júri teve acesso às provas do caso, então pontificar detalhes específicos do assunto é contraproducente, opinou Rick Holland, diretor de segurança da informação e vice-presidente de estratégia da Digital Shadows, fornecedora de soluções digitais de gerenciamento de riscos.

“Há algumas conclusões gerais para tirar. Estou preocupado com as consequências não intencionais deste caso”, disse Holland ao TechNewsWorld. “Os CISOs já têm um trabalho desafiador, e o resultado do caso eleva as apostas para o bode expiatório do CISO.”

Perguntas críticas sem resposta

As preocupações da Holanda incluem como o resultado deste julgamento pode impactar o número de líderes dispostos a assumir a potencial responsabilidade pessoal do papel do CISO. Ele também se preocupa em desalojar mais casos de denunciantes, como os que cresceram fora do Twitter.

Ele espera que mais CISOs negociem o seguro de Diretores e Diretores em seus contratos de trabalho. Esse tipo de apólice oferece cobertura de responsabilidade pessoal para decisões e ações que o CISO pode tomar, explicou.

“Além disso, da mesma forma que tanto o CEO quanto o CFO se tornaram responsáveis pela corrupção na esteira de Sarbanes Oxley e do escândalo da Enron, os CISOs não devem ser os únicos papéis culpados em caso de irregularidades em torno de invasões e violações”, sugeriu.

A Lei Sarbanes-Oxley de 2002 é uma lei federal que estabeleceu auditoria abrangente e regulamentos financeiros para empresas públicas. O escândalo da Enron, uma série de eventos envolvendo práticas contábeis duvidosas, resultou na falência da empresa de energia, commodities e serviços Enron Corporation e na dissolução da empresa de contabilidade Arthur Andersen.

“Os CISOs devem efetivamente comunicar riscos à equipe de liderança da empresa, mas não devem ser os únicos responsáveis pelos riscos de segurança cibernética”, disse ele.

Twisted Circumstances

A condenação de Sullivan é uma inversão de papéis irônico. No início de sua carreira, ele processou casos de crimes cibernéticos para a Procuradoria dos Estados Unidos em São Francisco.

O caso do DoJ contra Sullivan dependia de obstruir a justiça e agir para esconder um crime das autoridades. A condenação resultante pode ter um impacto a longo prazo na forma como organizações e executivos individuais abordam a resposta a incidentes cibernéticos, particularmente quando envolve extorsão.

Os promotores argumentaram que Sullivan ativamente escondeu uma enorme violação de dados. O júri concordou por unanimidade com a acusação além de uma dúvida razoável.

Em vez de relatar a violação, o júri descobriu que Sullivan, apoiado pelo conhecimento e aprovação do então CEO da Uber, pagou aos hackers e fez com que eles assinassem um acordo de não divulgação que alegava falsamente que eles não haviam roubado dados da Uber.

Um novo executivo-chefe que mais tarde se juntou à empresa relatou o incidente à FTC. Executivos atuais e antigos da Uber, advogados e outros testemunharam para o governo.

Edward McAndrew, advogado da BakerHostetler e ex-promotor de crimes cibernéticos do DoJ e especialista cibernético de segurança nacional, disse ao TechNewsWorld que “a acusação de Sullivan e agora a condenação são inovadoras, mas precisam ser entendidas em seu próprio contexto factual e legal”.

O governo recentemente adotou uma política muito mais agressiva em relação à segurança cibernética, observou ele. Isso impacta a conformidade com o colarinho branco, onde organizações e executivos são cada vez mais lançados para os papéis simultâneos e díspares de vítimas de crime e alvo de execução.

“As organizações precisam entender como as ações de cada funcionário podem expô-los e outros ao processo de justiça criminal. E os profissionais de segurança da informação precisam entender como evitar se tornar pessoalmente responsáveis por ações que tomam na resposta a ataques cibernéticos criminosos”, alertou McAndrew.

Review & Discussion

Comment

Please read our comment policy before submitting your comment. Your email address will not be used or publish anywhere. You will only receive comment notifications if you opt to subscribe below.