Były CSO Ubera unika więzienia po zatuszowaniu naruszenia danych

Po zatuszowaniu incydentu naruszenia danych, który wpłynął na dane osobowe 57 milionów pasażerów i kierowców Ubera, były dyrektor ds. bezpieczeństwa firmy został uznany za winnego i skazany przez amerykańskiego sędziego federalnego. Jednak kontrowersje budzi wyjątkowo niski wyrok, który otrzymał Joe Sullivan.

Wyciek danych z Ubera

Joe Sullivan, były szef bezpieczeństwa w Facebooku, był CSO w firmie Uber w październiku 2016 r., kiedy hakerzy wykradli dane zawierające nazwiska, adresy e-mail i numery telefonów klientów i kierowców.

Później okazało się, że bezpośrednią przyczyną włamania nie było złamanie systemów antywirusowych, lecz nieostrożność programistów, którzy zostawili swoje dane logowania w zasobniku Amazon Web Services używanym przez Ubera w repozytorium GitHub.

Hakerzy ukradli dane z zasobnika AWS i skontaktowali się z Uberem, żądając okupu.

Następnie Sullivan podjął szereg decyzji bardzo nietypowych dla organizacji CSO zajmującej się naruszeniem danych:

• Zdecydował się nie informować ofiar wycieku o tym, że ich dane zostały skradzione.
• Zdecydował się nie mówić organom regulacyjnym o naruszeniu danych ani nie informować władz o cyberincydencie.

Sullivan zamiast powiadomić odpowiednie organy władzy zatuszował włamanie i potajemnie spotkał się z hakerami, płacąc im sto tysięcy dolarów za podpisanie umowy o zachowaniu poufności, zgodnie z którą wiadomość o naruszeniu nigdy nie zostanie upubliczniona. Co ciekawe, opłacenie hakerów zostało podpięte pod program nagród za błędy, aby uniknąć pytań o zniknięcie tych środków z konta firmy.

Podczas ostatniej rozprawy prokuratorzy twierdzili, że były zarząd CSO skłonił Sullivana do zatuszowania awarii bezpieczeństwa, próbując zarówno chronić renomę firmy, jak i zabezpieczyć się przed ucieczką kierowców do rywali Ubera.

Prokuratorzy uznali kierowców za „oszukanych”, ponieważ nie zostali oni poinformowani o własnej krzywdzie (zagrożeniu atakami phishingowymi) spowodowanej błędem pracowników, a mimo to wciąż dzielili się z firmą częścią swoich zarobków.

Były CSO Ubera unika więzienia – kontrowersje wokół wyroku

Sullivan, który sam jest byłym prokuratorem federalnym, a po opuszczeniu Ubera został mianowany CISO Cloudflare, dostał ostrzeżenie, że grozi mu wiele lat więzienia.

Jednak w zeszłym tygodniu powiedziano mu, że otrzymuje trzyletni wyrok w zawieszeniu, unikając kary więzienia.

„Gdybym jutro miał podobną sprawę, nawet gdyby oskarżonym był papież Franciszek, to trafiliby on do więzienia” – powiedział Sullivanowi sędzia federalny z Północnego Dystryktu Kalifornii, William Orrick. W kolejnych słowach tłumaczył swój wyrok tym, że sytuacja ta była jednorazowa i nietypowa jak na 2016 rok. Sędzia jednak zastrzegł, że kolejni przestępcy, którzy zatają wycieki danych w swoich firmach, będą traktowani bardziej rygorystycznie.

„Wyjątkowo niski wyrok dla byłego CSO Ubera z pewnością można postrzegać jako kontrowersyjny. Szczególnie bulwersujące były pobudki, którymi kierował się Joe Sullivan, czyli próba ratowania reputacji i chęć oszukania swoich pracowników, aby ci nie zmienili pracodawcy. Musimy jednak pamiętać o dwóch kwestiach. Po pierwsze w Stanach Zjednoczonych panuje prawo precedensowe i nie funkcjonuje tam RODO. Po drugie skazywanie osób odpowiedzialnych za niezawiadomienie organów władzy o wyciekach danych jest czymś stosunkowo nowym. Przez długi czas opinia publiczna uważała, że firmy, które w jakiś sposób „współpracowały” z cyberprzestępcami, zostały do tego zmuszone, wybrały mniejsze zło i poniosły już odpowiednią karę. Jednak coraz większa świadomość tego, co może się dziać ze skradzionymi danymi, do czego mogą być wykorzystane i to, że wśród nich mogą być także nasze dane, zmieniło pogląd społeczeństwa na temat niedociągnięć w zabezpieczaniu zasobów przez firmy. Pomimo tego, że w przypadku CSO Ubera możemy mówić o wyjątkowo niskim wyroku, to skazanie go na karę w zawieszeniu jest ostrzeżeniem dla całej branży cyberbezpieczeństwa” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.