Max Home IndustryБывший начальник службы безопасности Uber был осужден за то, что не сообщил властям США о взломе баз данных компании в 2016 году.
Присяжные в Сан-Франциско признали Джо Салливана, уволенного из Uber в 2017 году, виновным в воспрепятствовании правосудию и сокрытии преступления.
Все чаще компании ведут переговоры с хакерами-вымогателями.
Но следователи сказали, что они должны «поступать правильно», когда их система взломана.
Осуждение является драматическим поворотом для Салливана, который в какой-то момент своей карьеры преследовал в судебном порядке преступления, связанные с кибербезопасностью, для прокуратуры США в Сан-Франциско.
После осуждения Салливана его адвокат Дэвид Анджели сказал, что «единственное внимание Салливана в этом инциденте и на протяжении всей его выдающейся карьеры было обеспечение безопасности личных данных людей в Интернете», — сообщила Washington Post.
Но прокуратура заявила, что этот случай был предупреждением для компаний.
«Мы ожидаем, что эти компании будут защищать эти данные и предупреждать клиентов и соответствующие органы в случае кражи таких данных хакерами», — заявила прокурор США Стефани М. Хайндс.
Хайндс обвинил Салливана в том, что он пытался скрыть утечку данных от регулятора США Федеральной торговой комиссии (FTC), добавив, что он «предпринял шаги, чтобы предотвратить поимку хакеров».
В то время FTC уже расследовала Uber после взлома в 2014 году.
Когда его снова взломали, злоумышленники написали Салливану по электронной почте и сообщили ему, что украли большой объем данных, которые они удалят в обмен на выкуп, сообщает Министерство юстиции США (DOJ).
Сотрудники, работающие на Салливана, подтвердили, что данные, в том числе около 57 миллионов записей пользователей Uber и 600 000 номеров водительских прав, были украдены.
По данным Министерства юстиции, Салливан организовал выплату хакерам 100 000 долларов США (89 000 фунтов стерлингов) в биткойнах в обмен на то, что они подпишут соглашение о неразглашении, чтобы никому не раскрывать информацию о взломе.
Хакерам заплатили в декабре 2016 года, хотя они отказались назвать свои настоящие имена.
Платеж был замаскирован под «награду за обнаружение ошибок», вознаграждение, используемое для выплаты исследователям в области кибербезопасности, которые раскрывают уязвимости, чтобы их можно было исправить.
The Washington Post сообщила, что этот процесс позволил Uber собрать подсказки о двух хакерах. В конце концов, в январе 2017 года фирма установила личность этой пары, оба из которых были осуждены за уголовные преступления, и потребовала от них подписать новые соглашения от своего имени.
Это убеждение вызвало мурашки по коже многих руководителей кибербезопасности.
С организованными бандами вымогателей, поддерживаемым правительством хакерским чаем и детьми-анархистами, нацеленными на компании, быть директором по информационной безопасности уже непросто.
Некоторые говорят, что личное осуждение Салливана за решение, принятое от имени его работодателя, создает пугающий прецедент.
Для наблюдателей преступления, совершенные Салливаном в 2016 году, также кажутся странными по сегодняшним меркам.
Переговоры с хакерами и плата им за молчание теперь буквально каждый день проводятся корпорациями, пострадавшими от банд вымогателей.
Ключевое отличие здесь, по мнению присяжных, заключается в том, что Салливан пытался это скрыть.
Предоставление киберпреступникам того, что они хотят, больше не имеет такой серьезности, как раньше, но компании, тогда и сейчас, должны всегда быть прозрачными в отношении того, как они реагируют на киберинциденты, которые затрагивают их самих и их клиентов.
Министерство юстиции заявило, что Салливан «организовал эти действия, несмотря на то, что знал, что хакеры взламывали и вымогали деньги у других компаний, а также у Uber, и что хакеры получили данные по крайней мере от некоторых из этих других компаний».
В конце концов, новая команда менеджеров Uber сообщила о взломе в Федеральную торговую комиссию в 2017 году после проведения собственного расследования.
В 2018 году Uber заплатил штатам США 148 миллионов долларов, чтобы урегулировать спор о том, что компания слишком медленно раскрывала информацию о взломе.
Шоковое решение
Вердикт стал неожиданностью для многих, работающих в сфере компьютерной безопасности. Сообщается, что в то время Салливан сообщил об угрозе некоторым высокопоставленным лицам в Uber.
Суд также услышал, что внутренняя юридическая консультация предположила, что нет необходимости раскрывать информацию о взломе, если злоумышленники будут идентифицированы, и согласилась удалить данные и не распространять их дальше.
Отвечая на приговор, д-р Илья Колоченко, основатель ImmuniWeb и член сети экспертов по защите данных Европола, написал: «Дело Uber — это просто еще один наглядный пример разворачивающейся глобальной тенденции возлагать на руководителей служб кибербезопасности ответственность за свои компании». утечки данных.
«Серьезные проступки, такие как преднамеренное сокрытие утечки данных, несмотря на нормативное требование сообщать о нарушении для уменьшения ущерба, могут даже повлечь уголовные санкции».
Д-р Колоченко сказал, что руководители кибербезопасности должны срочно проверить, чтобы их трудовые договоры касались таких вопросов, как покрытие судебных издержек в случае гражданского иска или судебного преследования в связи с их профессиональными обязанностями. Контракты также должны содержать гарантию того, что их работодатель не подаст на них в суд, поскольку пострадавшие компании также могут сделать это в случае инцидентов с безопасностью, добавила она.
Салливану еще не вынесли приговор, и он может обжаловать это решение.