Bijušajam Uber CSO izvirzītās apsūdzības par noziegumiem parāda, ka viņš aktīvi plāno un īsteno plānu, lai slēptu lielu datu pārkāpumu. Tas kalpo kā atgādinājums, ka PSO un CISO ir jāapsver, kā šobrīd pieņemtos lēmumus var interpretēt, interpretēt vai pēc fakta pierādīt, ka tie ir noziedzīgi.
The tiesvedības kavēšana un noziedzīga nodarījuma izdarīšana apsūdzības, kas tika iekasētas pret Džozefu Salivanu, bijušo Uber galveno drošības virsnieku (CSO), raidīja triecienviļņus cauri kiberdrošības kopienai. CSO un galvenie informācijas drošības darbinieki (CISO) pamatoti domāja, ko šīs maksas nozīmē attiecībā uz viņu pašu vainu par lēmumiem, kas pieņemti darbā.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
PSO un CISO apstrādā sensitīvus datus, pieņem sarežģītus lēmumus un, pieņemot šos lēmumus, apsver savu atbildību pret uzņēmumu un tā akcionāriem. Šajos lēmumos lielā mērā ir ietverti arī juridiskie, regulējošie un privātuma jautājumi.
Stāstījums apsūdzības dokumentos (piezīme: šī vēl nav kriminālapsūdzība), ko FIB izdevis pret Uber bijušo CSO (Salivanu), parāda viņu. kā aktīvi izstrādāt un īstenot plānu, lai slēptu lielu datu pārkāpumu, traucētu federālajiem regulatoriem un slēptu darbību no augstākā līmeņa vadītāji.
Lieta pret Uber
Datu pārkāpums 2014. gadā atklāja ieraksti par 50 000 Uber vadītāju. 2016. gadā Federālā tirdzniecības komisija (FTC) izmeklēja Uber par 2014. gada datu pārkāpumu. Aptuveni 10 dienas pēc tam, kad Salivans sniedza zvērinātu liecību FTC, viņš uzzināja par otru datu pārkāpumu, kas saistīts ar līdzīgiem ierakstiem, bet daudz plašākā mērogā. Šoreiz pārkāpums ietvēra miljoniem ierakstu. Ubers un Salivans sadarbojās ar izmeklētājiem, un hakeri tika notverti un apsūdzēti.
Saskaņā ar maksas dokumentu Salivans, bijušais Uber izpilddirektors Treviss Kalaniks un citi pēc tam, kad uzzināja par 2016. gada datu pārkāpumu, veica šādas darbības:
Viņi apstiprināja, ka dati ir patiesi.
Salivans pārveidoja esošu kļūdu novēršanas programmu, lai samaksātu izpirkuma maksu, lai neļautu hakeriem publiski atklāt datu pārkāpumu.
Samaksātā atlīdzības summa bija 10 reizes lielāka nekā esošās kļūdu atlīdzības programmas maksimālā summa, un pārkāpuma veids un ieraksti arī nebija ietverti esošajā kļūdu atlīdzības programmā.
Salivans pieprasīja, lai hakeri parakstītu neizpaušanas līgumu (NDA), kas ir vēl vienas izmaiņas esošajā atlīdzības programmā.
Salivans nepieminēja 2016. gada FTC uzlaušanu.
Salivans jaunajam Uber izpilddirektoram 2017. gadā pilnībā neizskaidroja datu pārkāpumu. Ņemiet vērā, ka Salivanam netiek iekasēta maksa par pirmajiem četriem. Tā vietā tie tiek izmantoti kā apstiprinoši pierādījumi apsūdzībām par tiesiskuma kavēšanu un nepareizu noziedzīga nodarījuma izdarīšanu.
Stāsta Otra Puse
2016. gada novembrī Uber uzzināja par datu pārkāpumu. Hakeri draudēja atklāt nozagtos datus. Uber maksāja hakeriem izpirkuma maksu saskaņā ar savu kļūdu novēršanas programmu un lika hakeriem parakstīt NDA, lai izvairītos no tā, ka pārkāpums kļūst publiski zināms.
Salivans neinformēja FTC zvērinātas izmeklēšanas sēdes laikā, jo viņš nevarēja: Salivans uzzināja par 2016. gada pārkāpumu 10 dienas vēlāk. Lai informētu FTC, Salivanam būtu bijis jāsazinās ar viņu un jāinformē par atsevišķu, jaunu, bet līdzīgu pārkāpumu. Pastāv arī neskaidrības par to, vai Salivanam bija kāds juridisks pienākums to darīt.
Salivans 2017. gadā informēja jauno izpilddirektoru, taču nesniedza jaunajam izpilddirektoram nepieciešamo informāciju. Tas ne vienmēr ir pārsteidzoši, jo saziņa starp augstākajiem drošības vadītājiem un augstākajiem vadītājiem joprojām ir izaicinājums.
Šī faktu versija atbilst apsūdzības dokumentos izklāstītajai lietai, taču to dara, pārbaudot lēmumus, neuzskatot tos par saistītiem ar noziedzīgu darbību. Ja šī lieta nonāks tiesā, Salivana advokātiem būs iespēja piedāvāt savu notikumu versiju.
Salivans ir nevainīgs, kamēr viņa vaina nav pierādīta. Bet neatkarīgi no iznākuma CISO šeit ir svarīga mācība. Jums jāapsver, kā šobrīd pieņemtos lēmumus var interpretēt, interpretēt vai pēc fakta pierādīt, ka tie ir noziedzīgi.
Kas CISO būtu jāatņem no maksām?
Lūk, kas augstākajiem drošības vadītājiem būtu jāzina un jāsaprot par šiem notikumiem:
Šis ir brīdinājums pilsoniskās sabiedrības organizācijām un CISO: noņemiet visas neatbilstības sajūtu IR. Datu pārkāpuma slēpšana ir nelikumīga. Katrs lēmums, kas pieņemts incidenta laikā, var tikt izmantots tiesvedībā, un to rūpīgi pārbaudīs izmeklētāji. Šajā gadījumā tas ir novedis arī pie kriminālapsūdzības, kas izvirzīta pret pazīstamu drošības vadītāju. Ja šķiet, ka jūsu rīcība slēpj datu pārkāpumu, nevis izmeklē un novērš datu pārkāpumu, sagaidiet sekas.
Šeit nav runa ne par izpirkuma maksu, ne par dāvanām. Tika apgalvots, ka izpirkuma maksas maksāšana, izmantojot kļūdu, palīdzēja noslēpt pārkāpumu. Uzņēmumiem būtu jāizstrādā digitālās izspiešanas politika, lai nebūtu nekādu apgalvojumu par neatbilstību, ja tie izvēlas maksāt izpirkuma maksu. Turklāt jūsu kļūdu atlīdzības programmas vadlīnijas nedrīkst mainīt lidojuma laikā, lai atvieglotu ar kļūdām nesaistītas programmas darbības.
Cieši un atklāti sadarbojieties ar augstāko vadību par pārkāpumiem un izpirkuma maksas jautājumiem. Salivans mēģināja panākt, lai hakeri paraksta neizpaušanas līgumus - juridisku dokumentu starp diviem likumīgiem struktūras, kas efektīvi atzina hakerus par uzņēmējdarbības vienībām, kas ļāva Uber uzskatīt hakerus par trešo ballītēm. Uzskatot izpirkuma maksu par "uzņēmējdarbības izmaksām", viņiem palīdzēja slēpt maksājumu arī no vadības komandas. Maksas iekasēšanas dokumentos teikts, ka tikai Salivans un Kalaniks zināja par maksājumu un veidu, kā tas tika novirzīts caur kļūdu programmu. Neviens cits augstākais līderis nebija iesaistīts.
CISO uzdevums ir likt vadībai saprast kiberdrošības nozīmi. Bieži vien CISO un citi drošības un riska vadītāji atzīmē, ka ir grūti likt valdes locekļiem un vadītājiem saprast tehniskos aspektus saistībā ar kiberdrošību un pārkāpumiem. Lai gan tas noteikti ir patiess un saprotams, tas nav pamatots iemesls, lai pieļautu neveiksmes. Ja padome nesaprot, CISO ir jāliek viņiem saprast, pat ja viņiem problēma ir jānorāda uz tāfeles. Lieciet viņiem saprast. Neveiksme nav risinājums.
CISO darbs var būt ar augstu risku, augstu atalgojumu; veikt pasākumus, lai sevi aizsargātu. Izdegšana ir ļoti nopietna problēma, savukārt citi riski var ietvert juridisku atbildību darbā un kļūšanu par grēkāzi. Ja jums ir iespēja risināt sarunas, apsveriet iespēju izvēlēties uzņēmuma direktora un amatpersonas atbildības apdrošināšanas polisi, kas jums piedāvā vai arī jūsu CISO amats ir jāiekļauj uzņēmuma statūtos, kas piedāvā tādu pašu atlīdzību kā citam C līmeņa darbiniekam. pozīcijas. Vai esat kādreiz dzirdējuši par zelta izpletņa klauzulām vadītājiem? CISO var būt zelta aizzīmju klauzulas.
Lai iegūtu vairāk ieskatu par kiberdrošību, noteikti reģistrējieties Forrester's Drošība un risks pasaulē2020. gada 22.–23. septembrī notiks tiešraides, virtuāls pasākums, lai uzzinātu par jauniem kiberdraudiem, jaunām normatīvajām prasībām un jaunākajiem rīkiem un stratēģijām, kas nepieciešami jūsu uzņēmuma drošības uzturēšanai.
Šo ziņu rakstīja galvenais analītiķis Džefs Polards, un tā sākotnēji parādījās šeit.