رئیس سابق امنیت Uber به اتهام پوشش داده‌ها مجرم است

ریک هالند، افسر ارشد امنیت اطلاعات و معاون راهبردی، معتقد است که فقط هیئت منصفه به شواهد پرونده دسترسی داشت، بنابراین ارائه جزئیات خاص این موضوع نتیجه معکوس دارد. سایه های دیجیتال، ارائه دهنده راه حل های مدیریت ریسک دیجیتال.

وکیل سالیوان، دیوید آنجلی، پس از اعلام حکم گفت که تمرکز موکلش تنها اطمینان از امنیت داده های دیجیتال شخصی افراد بوده است.

محکومیت جوزف سالیوان، مدیر ارشد امنیتی سابق Uber ممکن است یک ارزیابی مجدد دلهره آور از نحوه مدیریت افسران امنیت اطلاعات (CISOs) و جامعه امنیتی با نقض های شبکه در آینده باشد.

وی خاطرنشان کرد که دولت اخیراً سیاست بسیار تهاجمی تری را در قبال امنیت سایبری اتخاذ کرده است. این امر بر انطباق یقه سفیدها تأثیر می گذارد، جایی که سازمان ها و مدیران اجرایی به طور فزاینده ای در نقش های همزمان و متفاوت قربانی جرم و هدف اجرایی نقش می بندند.

او پیشنهاد کرد: «علاوه بر این، همانطور که هم مدیر عامل و هم مدیر ارشد مالی پس از ساربانس آکسلی و رسوایی انرون مسئول فساد شدند، CISO ها نباید تنها نقش های مقصر در صورت تخلف در مورد نفوذها و تخلفات باشند.» .

دادستان های فدرال خاطرنشان کردند که این پرونده باید به عنوان هشداری برای شرکت ها در مورد نحوه رعایت مقررات فدرال هنگام رسیدگی به نقض شبکه خود باشد.

این محکومیت سابقه قابل توجهی است که در حال حاضر موجی از شوک را در جامعه CISO ایجاد کرده است. کیسی الیس، موسس و مدیر ارشد فناوری، خاطرنشان کرد: این مسئولیت شخصی درگیر بودن یک CISO در یک سیاست پویا، قانونی و محیط مهاجم را برجسته می کند. شلوغی، یک پلتفرم امنیت سایبری جمع سپاری شده است.

ادوارد مک اندرو، وکیل در BakerHostetler و دادستان سابق جرایم سایبری وزارت دادگستری و متخصص سایبری امنیت ملی، به TechNewsWorld گفت که «تعقیب قضایی سالیوان و محکومیت او در حال حاضر راهگشا است، اما باید در زمینه واقعی و قانونی آن درک شود.»

وزارت دادگستری گزارش داد که سالیوان به دنبال موافقت هکرها برای پرداخت 100000 دلار آمریکا به صورت بیت کوین بوده است. این توافق شامل هکرها می‌شود که یک توافقنامه عدم افشای اطلاعات را امضا می‌کنند تا هک را از اطلاعات عمومی دور نگه دارند. ظاهرا اوبر ماهیت واقعی پرداخت را به عنوان جایزه باگ پنهان کرده است.

دادستان ها استدلال کردند که سالیوان به طور فعال یک نقض گسترده داده ها را پنهان کرده است. هیئت منصفه به اتفاق آرا با اتهام خارج از شک منطقی موافقت کرد.

هیئت منصفه به جای گزارش نقض، متوجه شد که سالیوان با حمایت از دانش و تایید مدیر عامل وقت اوبر، به هکرها پول پرداخت کرده و آنها را مجبور به امضای قرارداد عدم افشای اطلاعات کرده است که به دروغ ادعا می‌کرد که داده‌های اوبر را سرقت نکرده‌اند.

اعتقاد سالیوان نوعی تغییر نقش کنایه آمیز است. او در اوایل حرفه حقوقی خود، پرونده های جرایم سایبری را برای دفتر دادستانی ایالات متحده در سانفرانسیسکو تحت پیگرد قانونی قرار می داد.

قانون Sarbanes-Oxley در سال 2002 یک قانون فدرال است که مقررات جامع حسابرسی و مالی را برای شرکت های دولتی ایجاد می کند. رسوایی انرون، مجموعه ای از رویدادهای مربوط به شیوه های حسابداری مشکوک، منجر به ورشکستگی شرکت انرژی، کالاها و خدمات Enron Corporation و انحلال شرکت حسابداری آرتور اندرسن شد.

«سازمان‌ها باید بدانند که چگونه اقدامات تک تک کارکنان می‌تواند آنها و دیگران را در معرض فرآیند عدالت کیفری قرار دهد. و متخصصان امنیت اطلاعات باید بدانند که چگونه از مسئولیت شخصی در قبال اقداماتی که در واکنش به حملات سایبری جنایی انجام می دهند اجتناب کنند.

منبع: https://www.technewsworld.com/story/twisted-cyber-case-finds-former-uber-security-chief-guilty-of-data-breach-coverup-177190.html?rss=1

در آن زمان، FTC در حال بررسی Uber پس از هک سال 2014 بود. هک تکراری شبکه اوبر دو سال بعد شامل ارسال ایمیل به سالیوان از سوی هکرها در مورد سرقت حجم زیادی از داده ها بود. به گفته وزارت دادگستری ایالات متحده، آنها قول داده اند در صورت پرداخت باج توسط اوبر، داده ها را حذف کنند.

“برخی نتیجه گیری های کلی وجود دارد که می توان نتیجه گرفت. هالند به TechNewsWorld گفت: من نگران عواقب ناخواسته این پرونده هستم. CISO ها در حال حاضر یک کار چالش برانگیز دارند و نتیجه پرونده خطرات را برای CISO افزایش می دهد.

سوالات بی پاسخ انتقادی

تبلیغات

هیئت منصفه فدرال سانفرانسیسکو در 5 اکتبر سالیوان را به دلیل عدم اطلاع رسانی به مقامات ایالات متحده در مورد هک پایگاه داده های Uber در سال 2016 محکوم کرد. قاضی ویلیام اچ اوریک تاریخ صدور حکم را تعیین نکرد.

او گفت: «سازمان‌های CISO باید ریسک‌ها را به طور مؤثر به تیم رهبری شرکت منتقل کنند، اما نباید به تنهایی مسئول خطرات امنیت سایبری باشند».

شرایط پیچیده

طبق گزارش های آزمایشی منتشر شده، کارکنان سالیوان سرقت گسترده داده ها را تأیید کردند. این شامل سوابق سرقت شده 57 میلیون کاربر Uber و 600000 شماره گواهینامه رانندگی است.

نگرانی هالند شامل این است که چگونه نتیجه این آزمایش ممکن است بر تعداد رهبرانی که مایل به قبول مسئولیت شخصی بالقوه نقش CISO هستند تأثیر بگذارد. او همچنین نگران افشای پرونده‌های افشاگر بیشتر مانند مواردی است که از توییتر رشد کرده است.

روند رو به رشد شرکت هایی است که قربانی باج افزار می شوند تا با هکرها مذاکره کنند. اما گفتمان محاکمه نشان داد که دادستان‌ها به شرکت‌ها یادآوری می‌کنند که «کار درست را انجام دهند»، طبق گزارش‌های رسانه‌ها.

مدیر اجرایی جدیدی که بعداً به شرکت ملحق شد، این حادثه را به FTC گزارش کرد. مدیران فعلی و سابق اوبر، وکلا و دیگران برای دولت شهادت دادند.

تبلیغات

پرونده وزارت دادگستری علیه سالیوان به ممانعت از اجرای عدالت و اقدام برای پنهان کردن یک جنایت از مقامات بستگی دارد. محکومیت حاصل می‌تواند تأثیر طولانی‌مدتی بر نحوه برخورد سازمان‌ها و مدیران فردی به واکنش به حوادث سایبری، به ویژه در مواردی که شامل اخاذی باشد، داشته باشد.

مقامات سالیوان را متهم به تلاش برای مخفی کردن نقض داده ها از قانونگذاران ایالات متحده و کمیسیون تجارت فدرال کردند و افزودند که اقدامات او برای جلوگیری از دستگیر شدن هکرها تلاش می کند.

او انتظار دارد که تعداد بیشتری از CISOها در مورد بیمه مدیران و افسران در قراردادهای کاری خود مذاکره کنند. او توضیح داد که این نوع سیاست پوشش مسئولیت شخصی را برای تصمیمات و اقداماتی که CISO ممکن است انجام دهد ارائه می دهد.

این درخواست برای سیاست شفاف‌تر در سطح فدرال در ایالات متحده در مورد حفاظت از حریم خصوصی و رفتار با داده‌های کاربر، و بر این واقعیت تأکید می‌کند که رویکرد فعالانه برای رسیدگی به اطلاعات آسیب‌پذیری، به جای رویکرد واکنشی اتخاذ شده در اینجا، یک جزء کلیدی است. تاب آوری برای سازمان ها، تیم های امنیتی آنها، و سهامداران آنها،” او به TechNewsWorld گفت.

سوالات بی پاسخ انتقادی

شرایط پیچیده

جزئیات دردسرساز