優(yōu)步公司前首席安全官從2016年的數(shù)據(jù)泄露事件中吸取的教訓

責任編輯:cres

作者:Deb Radcliff

2023-05-30 14:32:15

來源:企業(yè)網D1Net

原創(chuàng)

優(yōu)步公司前首席安全官Joe Sullivan日前由于優(yōu)步公司在2016年發(fā)生的隱私數(shù)據(jù)泄露事件中隱瞞真相而被判決有罪,這一案件會讓網絡安全行業(yè)人士感到不寒而栗嗎?Sullivan表示,他認為這種情況可能會發(fā)生。

像大多數(shù)首席安全官一樣,Joe Sullivan被幫助防止網絡犯罪的職位所吸引。他在優(yōu)步(Uber)公司擔任首席安全官的角色與之前作為助理檢察官起訴網絡犯罪分子的工作有所不同,但更接近于網絡安全的前沿。作為曾經的法律人士,他發(fā)現(xiàn)自己已經站在司法系統(tǒng)的對立面,這是出乎意料的結果,也頗具諷刺意味。
 
2023年5月4日,Sullivan由于沒有報告拼車和配送商優(yōu)步(Uber) 公司2016年的數(shù)據(jù)泄露事件被判妨礙司法公正和隱瞞罪,被判處三年緩刑。在此次數(shù)據(jù)泄露事件中,網絡攻擊者威脅要泄露60萬名優(yōu)步司機的數(shù)據(jù)和5700萬名乘客的個人信息。在接受行業(yè)媒體的采訪時,Sullivan表示,他更關心的不是自己的命運,而是整個事件可能會導致其他的首席信息安全官更關心保護自己免受法律起訴,而不是保護他們所在的企業(yè)。
 
Sullivan說,“如果這個案件的結果與檢察官的意圖相反,網絡安全領導人會更加關注自身的風險,而不是管理受害企業(yè)的風險,那么這將是一場悲劇。作為網絡安全領域,我們的目標應該是讓安全領導者在他們公司的領導下變得更有權力、更有資源、更受支持。”
 
Sullivan的判決引起了網絡安全專業(yè)人士的焦慮
 
Sullivan的案件在網絡安全專業(yè)人士中引起了很大的焦慮,他們擔心自己可能會因為自己的工作而面臨法律處罰,但它也激勵了該領域更加重視網絡安全。Sullivan對他收到的數(shù)百封支持信表示感謝,他說這些信幫助他度過了最困難的時期。他的律師將其中的186封信轉給了量刑法官William Orrick,Sullivan認為這是他沒有入獄的關鍵原因(盡管這些信件讓法官感到惱火,Orrick在宣判時表示,他在過去的案件中從未收到過這么多支持信件)。
 
這些信中提到了Sullivan作為堅定的網絡安全捍衛(wèi)者的模范記錄,他以幫助eBay公司和Facebook公司在內的不斷發(fā)展的電子商務公司并建立其安全和隱私計劃而聞名。有信件還聲稱,Sullivan在這些公司開展的工作使許多詐騙犯入獄,還提到了他在社區(qū)服務和外聯(lián)活動中的優(yōu)秀表現(xiàn)。
 
對首席安全官責任的恐懼和困惑
 
這些信件還揭示了人們對誰應對數(shù)據(jù)泄露事件負責這一不斷變化的問題的潛在恐懼和困惑。一些人表示,如果本案的目的是威懾(在違規(guī)報告中謹慎行事的動機),那么網絡安全行業(yè)人士收到了這一信息。許多人解釋了首席安全官這一角色有多困難,違規(guī)反應有多動態(tài),以及缺乏明確的違規(guī)報告指南。
 
以下內容摘自一封名為“證據(jù)19”的信件,收到的日期為2023年2月27日,并且有近50名網絡安全高管簽名:“法院判決將對我們的行業(yè)以及全球公司和消費者的安全產生負面影響,因為在這種工作需要的特殊情況下做出艱難的判斷,個人面臨風險太大。這起案件表明,如果我們在披露義務或其他困難決定方面聽從法官、首席執(zhí)行官或其他官員的決策,我們可能會面臨刑事責任和民事責任,而這些決策在事后看來是不恰當?shù)摹?/div>
 
Sullivan的案件對網絡安全界產生了巨大影響,現(xiàn)在一直是行業(yè)研討會上高管團隊頻繁對話和小組討論的主題,也是改變政策和做法以避免披露錯誤的重要驅動力,即使這樣做的法律要求仍不明確。”
 
讓網絡安全管理人員害怕是糟糕的結果
 
這封信的簽署人之一是王晨曦,她是Rain Capital公司經驗豐富的網絡安全高管和管理合伙人,Rain Capital公司主要投資于網絡安全初創(chuàng)公司。她說:“這起案件給所有的首席信息安全官敲響了警鐘。因此,首席信息安全官已經在尋找更好的流程和控制,以應對和報告網絡攻擊事件,這就是他們想要做的事情,但人們不希望安全主管擔心自己的工作和責任。這是一個糟糕的結果。”
 
在量刑聽證會上的陳述中,檢察官Andrew Dawson對代表Sullivan寫信的首席信息安全官們毫不同情。他指著上面的信說:“這些信給人的印象是,Sullivan沒有犯罪。網絡安全是一個艱難的行業(yè),首席信息安全官需要做出艱難的決定,也許這是一個善意的錯誤,但僅此而已。除非整個行業(yè)對妨礙司法感興趣,否則此案的教訓是……遵守法律,遵守規(guī)則,不要對正在進行的積極調查隱瞞信息。”
 
當沒有報告違規(guī)行為成為阻礙和誤解時,特別是當首席信息安全官面臨壓力,要求他們避免披露有關違規(guī)行為和違規(guī)響應的信息時,就會出現(xiàn)一個關鍵的混淆點,因為這些信息可能會為網絡攻擊者帶來更多漏洞。
 
美國聯(lián)邦貿易委員會消費者保護局局長Samuel Levine在判案法官的一封信中這樣寫道:“由于被告Sullivan的行為,美國聯(lián)邦貿易委員會的工作人員被迫在2017年重新開始對優(yōu)步公司的數(shù)據(jù)安全措施進行調查,并就2014年優(yōu)步公司發(fā)生的類似數(shù)據(jù)泄露事件重新談判當時尚未達成的協(xié)議。”
 
在這種情況下,首席安全官最終是否應該承擔責任?
 
另一個令人困惑的問題是:當文件記錄顯示Sullivan為響應團隊建立了一個事件跟蹤系統(tǒng),并向當時的優(yōu)步公司首席執(zhí)行官Travis Kalanick和優(yōu)步公司總法律顧問Craig Clark (他領導了優(yōu)步公司對2016年事件的法律回應)通報并服從時,為什么首席安全官Sullivan要承擔責任并被指控掩蓋事實? Orrick聲稱此案是“史無前例”的,并根據(jù)判決記錄在法庭上指出了這一點。他說,“我現(xiàn)在仍然很困惑,優(yōu)步公司首席執(zhí)行官Travis Kalanick為Sullivan寫了一封信,而Kalanick并不在場。給我留下的印象是,他至少和Sulliva一樣有罪,卻沒有人把他告上法庭。”
 
5月17日發(fā)布的Law360法律評論也提出了這個問題,重點是Travis Kalanick和優(yōu)步公司總法律顧問Craig Clark都沒有出庭,這是不尋常的情況,并指出Kalanick通過作證獲得了政府豁免權。
 
Sulliva說:“我想了很多。如果你從來沒有擔任過首席安全官,那么你會很自然地得出的結論是,應該受到指責的人就是擔任這個職位上的人。不過,首席安全官們并沒有控制住數(shù)據(jù)泄露的規(guī)模,而首席執(zhí)行官可以做到。首席安全官可以提出建議,但他們不是最終的決定者。這不是大多數(shù)人的選擇,他們希望能繼續(xù)在自己的位置上有所作為。”
 
正是優(yōu)步公司總法律顧問Clark建議不要報告這一漏洞,因為Sulliva的安全團隊能夠在數(shù)據(jù)泄露到暗網上之前檢索到數(shù)據(jù)。這就引出了另一個問題:如果黑客被抓獲,他們的系統(tǒng)中敏感數(shù)據(jù)在泄露到暗網之前被刪除,那么是否需要向監(jiān)管機構報告?
 
違規(guī)報告準則仍不明確
 
法官承認,Sulliva通過誘騙兩名黑客簽署保密協(xié)議并利用保密協(xié)議跟蹤他們的IP地址,為遏制入侵和檢索被盜記錄所做的努力,并提供了后來被用來判定黑客共謀勒索罪的證據(jù)。但法官也表示,由于2016年沒有報告這一事件,對這些黑客的逮捕被推遲到2017年,當時優(yōu)步公司的新領導層報告了這一違規(guī)行為。
 
每個關注此案的人都對Sulliva所做的決定是對還是錯有自己的看法。但正如這一案件細節(jié)所揭示的那樣,其答案并不是非黑即白。Sulliva曾擔任過助理地方檢察官,優(yōu)步公司當時因過去的丑聞而受到詆毀,以及明顯缺乏聯(lián)邦政府對違規(guī)行為報告的指導,這些都對此案及其結果產生了一定影響。
 
Airbnb公司首席道德官Rob Chesnut說,“公平地說,對于首席信息安全官來說,沒有太多關于何時向誰披露什么信息的指導,而且美國每個州都有不同的法律。這可能是一個艱難的判斷,這讓首席信息安全官陷入困境,不容易知道該向誰披露什么,尤其是在優(yōu)步這樣的公司。”他也是《有意的誠信:聰明的公司如何引領道德革命》一書的作者。
 
Chesnut從2015年到2016年在優(yōu)步公司的安全顧問委員會工作了一年,他表示,他堅信應該由總法律顧問負責就是否報告違規(guī)行為做出法律決定。奇怪的是,優(yōu)步公司的總法律顧問聲稱自己一無所知,盡管優(yōu)步公司的一名律師參與其中,首席執(zhí)行官對這一事件知情,而且該公司的很多工程團隊都在努力解決違規(guī)行為。
 
從優(yōu)步公司數(shù)據(jù)泄露案中吸取的慘痛教訓
 
Chesnut建議首席信息安全官與企業(yè)的總法律顧問保持密切關系,并確保包括外部法律顧問在內的團隊努力做出此類決定。Sullivan在量刑聽證會上也這么陳述。他告訴法官,他應該通知總法律顧問Craig Clark,盡管Sullivan、首席執(zhí)行官Travis Kalanick和總法律顧問Craig Clark在泄露事件發(fā)生時都在出差。Sulliva還承認,除了尋求優(yōu)步公司的律師幫助之外,還應該尋求外部律師的幫助。Chesnut主張為這類案件聘請外部律師,同時建立一個記錄在案的命令鏈,然后在桌面演習中實踐可報告的違規(guī)場景。
 
當Chesnut在21世紀初擔任eBay公司安全高級副總裁時,他從美國司法部招募了Sulliva,讓他擔任自己團隊的高級主管。他回憶起Sulliva是如何親自參與抓捕和起訴那些試圖傷害eBay用戶的網絡犯罪分子,以及他是如何經常乘坐飛機去羅馬尼亞等地出差。后來,在Facebook公司工作期間,Sulliva在兒童保護方面的工作獲得了聲譽。
 
優(yōu)步公司的文化可能在這一結果中發(fā)揮了作用
 
這個案例改變了什么? Chesnut推測,優(yōu)步公司的秘密文化可能已經影響了Sulliva的決定。然而,他補充道:“認為Sulliva應該對此事負全部責任的想法是錯誤的。他顯然成了替罪羊,因為新上任的優(yōu)步首席執(zhí)行官正試圖挽回優(yōu)步公司在公眾眼中的聲譽。”
 
優(yōu)步公司總部位于加州舊金山,這里是消費者隱私法的發(fā)源地。加州的法律要求企業(yè)或州政府機構“通知任何未經授權的人獲取或合理認為已獲取未加密個人信息的加利福尼亞居民。”但法律并沒有說,如果企業(yè)設法在數(shù)據(jù)在暗網上傳播之前檢索到這些數(shù)據(jù),企業(yè)就不必報告,而這是Clark使用的論點,Sulliva也接受了這一論點,因為他沒有向監(jiān)管機構報告違規(guī)行為。
 
成為舉報人比被指控更容易?
 
根據(jù)加州法律,優(yōu)步公司應該向相關機構報告;如果沒有,那么Sulliva應該報告。事實證明,舉報優(yōu)步公司的違規(guī)行為要比在受到重罪指控并被定罪之后的結果要容易得多。
 
在被指控之后,Sulliva的工作和生活受到了嚴重的影響。他必須設法保護他的三個孩子的安全和隱私,因為他們在社交媒體上看到了有關Sulliva案例的消息。Sulliva現(xiàn)在不可能回到他熱愛的首席信息安全官的崗位上。他說,“我已經焦慮了很長時間。我在每個階段都低估了結果。最后,我在心理上做好了入獄的準備。現(xiàn)在是我弄清楚在緩刑期間該做什么的時候。”
 
Sulliva希望利用他的案件能夠為網絡安全領導人提供一個警醒,與立法者共同努力,澄清報告規(guī)則和責任,并最終起草一項數(shù)據(jù)泄露和報告法規(guī)。他還希望企業(yè)在董事會層面為首席信息安全官提供更多支持和培養(yǎng),從而提高安全和領導層之間的透明度。
 
正如優(yōu)步公司數(shù)據(jù)泄露事件所表明的那樣,當企業(yè)領導者的聲譽或人身自由受到威脅時,不要指望他們會公平行事。
 
關于企業(yè)網D1net(r5u5c.cn):
 
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
 
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號