Twisted Cyber ​​Case encuentra al exjefe de seguridad de Uber culpable de encubrimiento de violación de datos

La condena del ex director de seguridad de Uber, Joseph Sullivan, puede plantear una reevaluación escalofriante de cómo los directores de seguridad de la información (CISO) y la comunidad de seguridad manejan las violaciones de la red en el futuro.

El 5 de octubre, un jurado federal de San Francisco condenó a Sullivan por no informar a las autoridades estadounidenses sobre un ataque a las bases de datos de Uber en 2016. El juez William H. Orrick no fijó una fecha para la sentencia.

El abogado de Sullivan, David Angeli, dijo después del anuncio del veredicto que el único objetivo de su cliente era garantizar la seguridad de los datos digitales personales de las personas.

Los fiscales federales señalaron que el caso debería servir como una advertencia a las empresas sobre cómo cumplen con las regulaciones federales cuando manejan las violaciones de la red.

Los funcionarios acusaron a Sullivan de trabajar para ocultar la violación de datos de los reguladores estadounidenses y la Comisión Federal de Comercio, y agregaron que sus acciones intentaron evitar que los piratas informáticos fueran atrapados.

En ese momento, la FTC ya estaba investigando a Uber luego de un ataque informático en 2014. El hackeo repetido a la red de Uber dos años después involucró a los hackers que enviaron un correo electrónico a Sullivan sobre el robo de una gran cantidad de datos. Según el Departamento de Justicia de EE. UU., prometieron eliminar los datos si Uber pagaba el rescate.

La condena es un precedente importante que ya ha conmocionado a la comunidad de CISO. Destaca la responsabilidad personal que implica ser un CISO en un entorno dinámico de políticas, legal y de atacantes, señaló Casey Ellis, fundador y CTO de Bugcrowd, una plataforma de ciberseguridad de colaboración colectiva.

“Pide una política más clara a nivel federal en los Estados Unidos sobre la protección de la privacidad y el tratamiento de los datos de los usuarios, y enfatiza el hecho de que un enfoque proactivo para manejar la información de vulnerabilidad, en lugar del enfoque reactivo adoptado aquí, es un componente clave. de resiliencia para las organizaciones, sus equipos de seguridad y sus accionistas”, dijo a TechNewsWorld.

Detalles problemáticos

Una tendencia creciente es que las empresas víctimas del ransomware negocien con los piratas informáticos. Pero el discurso del juicio mostró a los fiscales recordando a las empresas que "hagan lo correcto", según versiones de los medios.

Según los relatos de prueba publicados, el personal de Sullivan confirmó el extenso robo de datos. Incluía 57 millones de registros robados de usuarios de Uber y 600.000 números de licencias de conducir.

El Departamento de Justicia informó que Sullivan buscó el acuerdo de los piratas informáticos para recibir un pago de 100.000 dólares estadounidenses en bitcoins. Ese acuerdo incluyó a los piratas informáticos que firmaron un acuerdo de confidencialidad para evitar que el hackeo fuera de conocimiento público. Uber supuestamente ocultó la verdadera naturaleza del pago como una recompensa por errores.

Solo el jurado tuvo acceso a las pruebas del caso, por lo que pontificar detalles específicos del asunto es contraproducente, opinó Rick Holland, director de seguridad de la información y vicepresidente de estrategia de Digital Shadows, un proveedor de soluciones de gestión de riesgos digitales.

“Hay algunas conclusiones generales que sacar. Me preocupan las consecuencias no deseadas de este caso”, dijo Holland a TechNewsWorld. “Los CISO ya tienen un trabajo desafiante, y el resultado del caso aumenta las apuestas para que los CISO sean chivos expiatorios”.

Preguntas críticas sin respuesta

Las preocupaciones de Holland incluyen cómo el resultado de este juicio podría afectar la cantidad de líderes dispuestos a asumir la posible responsabilidad personal del rol de CISO. También le preocupa desalojar más casos de denunciantes como los que surgieron de Twitter.

Él espera que más CISO negocien el seguro de Directores y Oficiales en sus contratos de trabajo. Ese tipo de póliza ofrece cobertura de responsabilidad personal por las decisiones y acciones que pueda tomar el CISO, explicó.

“Además, de la misma manera que tanto el CEO como el CFO se convirtieron en responsables de la corrupción inmediatamente después de Sarbanes Oxley y el escándalo de Enron, los CISO no deberían ser los únicos culpables en caso de irregularidades en torno a intrusiones e infracciones”, sugirió. .

La Ley Sarbanes-Oxley de 2002 es una ley federal que estableció regulaciones financieras y de auditoría integrales para las empresas públicas. El escándalo de Enron, una serie de eventos relacionados con prácticas contables dudosas, resultó en la quiebra de la empresa de energía, materias primas y servicios Enron Corporation y la disolución de la firma de contabilidad Arthur Andersen.

“Los CISO deben comunicar los riesgos de manera efectiva al equipo de liderazgo de la empresa, pero no deben ser los únicos responsables de los riesgos de seguridad cibernética”, dijo.

Circunstancias retorcidas

La condena de Sullivan es una especie de inversión de roles irónica. Anteriormente en su carrera de derecho, procesó casos de delitos cibernéticos para la Oficina del Fiscal de los Estados Unidos en San Francisco.

El caso del Departamento de Justicia contra Sullivan se basó en obstruir la justicia y actuar para ocultar un delito grave a las autoridades. La condena resultante podría tener un impacto a largo plazo en la forma en que las organizaciones y los ejecutivos individuales abordan la respuesta a incidentes cibernéticos, particularmente cuando se trata de extorsión.

Los fiscales argumentaron que Sullivan ocultó activamente una violación masiva de datos. El jurado estuvo de acuerdo por unanimidad con el cargo más allá de toda duda razonable.

En lugar de denunciar la infracción, el jurado descubrió que Sullivan, respaldado por el conocimiento y la aprobación del entonces director ejecutivo de Uber, pagó a los piratas informáticos y les hizo firmar un acuerdo de confidencialidad que afirmaba falsamente que no habían robado datos de Uber.

Un nuevo director ejecutivo que luego se incorporó a la empresa denunció el incidente a la FTC. Ejecutivos actuales y anteriores de Uber, abogados y otros testificaron para el gobierno.

Edward McAndrew, abogado de BakerHostetler y exfiscal de delitos cibernéticos del Departamento de Justicia y especialista en seguridad cibernética nacional, dijo a TechNewsWorld que "el enjuiciamiento de Sullivan y ahora la condena son innovadores, pero deben entenderse en su contexto fáctico y legal adecuado".

El gobierno adoptó recientemente una política mucho más agresiva hacia la ciberseguridad, señaló. Esto afecta el cumplimiento administrativo, en el que las organizaciones y los ejecutivos se ven cada vez más involucrados en los roles simultáneos y dispares de víctima del delito y objetivo de cumplimiento.

“Las organizaciones deben comprender cómo las acciones de los empleados individuales pueden exponerlos a ellos y a otros al proceso de justicia penal. Y los profesionales de la seguridad de la información deben comprender cómo evitar ser personalmente responsables de las acciones que toman para responder a los ciberataques criminales”, advirtió McAndrew.