Modern technology gives us many things.

Ο πρώην CSO της Uber, Joe Sullivan, εξηγεί γιατί «έπρεπε να ξεπεράσει» την καταδίκη για παραβίαση δεδομένων


Πριν εγγραφείτε στην Uber Ως επικεφαλής αξιωματικός ασφαλείας το 2015, ο Joe Sullivan υπηρέτησε για δύο χρόνια ως ομοσπονδιακός εισαγγελέας στο Υργείο Δικαιοσύνης των Ηνωμένων Πολιτειών, όπου ειδικεύτηκε σε θέματα πειρατείας υπολογιστών και IP. Εργάστηκε σε α σειρά από υποθέσεις υψηλού προφίλ, από η πρώτη υπόθεση δίωξης στις ΗΠΑ βάσει του νόμου για τα δικαιώματα πνευματικής ιδιοκτησίας στην ψηφιακή εποχή στη δίωξη α χάκερ που παραβίασε το Εργαστήριο Jet Propulsion της NASA.

Περισσότερα από 20 χρόνια αφότου εντάχθηκε στην κυβέρνηση των ΗΠΑ για να βοηθήσει τους οργανισμούς να αμυνθούν ενάντια στους λεγόμενους κακούς, ο Σάλιβαν βρέθηκε στην άλλη πλευρά του δικαστικού συστήματος.

Τον Οκτώβριο του 2022, ένα δικαστήριο του Σαν Φρανσίσκο τον έκρινε ένοχο με τις κατηγορίες για παρόδιση επίσημης διαδικασίας και κακούργημα (αδίκημα παράλειψης αναφοράς.) Τον Μάιο του τρέχοντος έτους, Ο Σάλιβαν καταδικάστηκε σε τριετή δοκιμασία.

Η ειρωνεία δεν χάνεται στον Sullivan, ο οποίος μίλησε στο TechCrunch στο αυτήν την εβδομάδα πριν από την κεντρική ομιλία του στο συνέδριο για την ασφάλεια στον κυβερνοχώρο Black Hat Europe.

Αυτή η υπόθεση δημιουργίας προηγούμενου αφορά μια παραβίαση των συστημάτων της Uber το 2016, όπου χάκερ απείλησαν να εκθέσουν τα δεδομένα 50 εκατομμυρίων πελατών και οδηγών της Uber. Η ετυμηγορία επικεντρώθηκε κυρίως στην απόφαση της Uber να μην αναφέρει την παραβίαση στην Ομοσπονδιακή Επιτροπή Εμπορίου, καθώς η εταιρεία είχε εντολή να αναφέρει όλες τις παραβιάσεις μετά από ένα νωρίτερο χακάρισμα των συστημάτων της το 2014 που αποκάλυψε τα ονόματα και τους αριθμούς αδειών οδήγησης 50.000 ατόμων.

Η υπόθεση δεν πήγε όπως περίμενε ο Sullivan, ο οποίος απολύθηκε από την Uber το 2017.

«Πιστεύαμε ότι θα κερδίσουμε τη δοκιμή. Μετά βίας υπερασπιστήκαμε γιατί οι δικηγόροι μου είπαν «δεν χρειάζεται». Δεν κατέθεσα, οπότε η κριτική επιτροπή δεν με είδε ποτέ. Μόλις είδαν το ανώνυμο στέλεχος της Uber με μάσκα», είπε ο Sullivan στο TechCrunch κατά τη διάρκεια της συνέντευξης την Τετάρτη.

Η πρώτη στο είδος της ετυμηγορία χτύπησε σκληρά τον Sullivan αρχικά. «Όταν έχασα τη δοκιμή τον περασμένο Οκτώβριο, ήμουν σε φανκ, δεν ήθελα να μιλήσω σε κανέναν και δεν ήξερα τι θα γινόταν στη ζωή μου», είπε. «Ήθελα απλώς να κουλουριθώ σε μια μπάλα».

Η υπόθεση του Sullivan προκάλεσε επίσης ανησυχία μεταξύ των συναδέλφων CSO και CISO, αρκετοί από τους οποίους έγραψαν επιστολές στον δικαστή καταδίκης της υπόθεσης, William Orrick, επαινώντας τις ενέργειες του Sullivan και εκφράζοντας τους φόβους τους ότι και αυτοί θα μπορούσαν να αντιμετωπίσουν νομικές κυρώσεις επειδή απλώς έκαναν τη δουλειά τους.

«Η υπόθεση του Τζο είχε τεράστιο αντίκτυπο στην κοινότητα της κυβερνοασφάλειας», έγραφε μια επιστολή, υπογεγραμμένη από περισσότερους από 50 CISO. «Αποτελούσε αντικείμενο συχνών συνομιλιών με ομάδα στελεχών και συζητήσεων σε πάνελ σε σεμινάρια του κλάδου και σημαντική κινητήρια δύναμη των προσπαθειών αλλαγής των πολιτικών και των πρακτικών για να γίνει λάθος στην αποκάλυψη, ακόμη και όταν η νομική απαίτηση να γίνει κάτι τέτοιο παραμένει αδιευκρίνιστη».

Αυτοί οι φόβοι έχουν διαρκέσει πολύ πέρα ​​από την πεποίθηση του Sullivan. Ο πρώην CSO της Uber, ο οποίος τώρα εργάζεται ως Διευθύνων Σύμβουλος σε μη κερδοσκοπικό οργανισμό αφιερωμένο στην παροχή ανθρωπιστικής και τεχνολογικής βοήθειας στον λαό της Ουκρανίας, είπε στο TechCrunch ότι λαμβάνει κλήσεις κάθε εβδομάδα από επαγγελματίες ασφαλείας που τον ρωτούν αν πρέπει να παραμείνουν στον κλάδο και αν θα πρέπει να λαμβάνουν συνεντεύξεις για ρόλους υψηλότερης κατάταξης που συνοδεύονται από μεγαλύτερη ευθύνη — και μεγαλύτερο κίνδυνο.

«Αυτό που λέω στα στελέχη ασφαλείας αυτή τη στιγμή είναι ότι δεν πρέπει να ξεφύγουν από τη δουλειά – θα πρέπει να τρέξουν προς αυτήν», είπε ο Sullivan, σημειώνοντας ότι το κοινό άγχος μεταξύ των επαγγελματιών της κυβερνοασφάλειας, μαζί με το γεγονός ότι ήθελε να γίνει Ο «καλύτερος άνθρωπος» είναι μέρος του λόγου που ήθελε να αρχίσει να μιλάει για την υπόθεση παραβίασης δεδομένων της Uber.

«Συνειδητοποίησα ότι το να μοιράζομαι αυτά που έχω περάσει είναι καλύτερο από το να μην κάνω και πιο υγιές για μένα. Μου πήρε ένα χρόνο για να το πω αυτό, αλλά αυτός είναι ο σωστός τρόπος», είπε ο Sullivan στο TechCrunch. «Ήμουν πολύ πικραμένος, αλλά θέλω να γίνω καλύτερος άνθρωπος. Θέλω επίσης να συνεχίσω να είμαι μέρος του κόσμου της ασφάλειας, οπότε πρέπει να το ξεπεράσω».

Ο Sullivan είπε στο TechCrunch ότι ένας άλλος λόγος που θέλει να μιλήσει είναι λόγω του γεγονότος ότι έχουν γίνει «100 διαδικτυακά σεμινάρια, από 100 δικηγόρους, λέγοντας ότι «δεν θα καταλήξεις σαν τον Joe αν έχεις ασφάλεια, αν φέρεις νομικά και δημόσιες σχέσεις μπείτε στο δωμάτιο ή εάν έχετε πολιτική ευθύνης παραβίασης».

«Κάναμε όλα αυτά τα πράγματα [at Uber]», είπε ο Σάλιβαν. «Είχαμε ασφάλιση. υπήρχε πολιτική αντιμετώπισης παραβίασης δεδομένων. βρεθήκαμε σε δημόσιες σχέσεις και τον Διευθύνοντα Σύμβουλο [Travis Kalanick] υπέγραψε τα πάντα, συμπεριλαμβανομένου του ποσού σε δολάρια», πρόσθεσε, αναφερόμενος στην πληρωμή των 100.000 δολαρίων που έγινε στους δύο νεαρούς που ανακάλυψαν την ευπάθεια που οδήγησε στην παραβίαση της Uber το 2016.

Όταν ρωτήθηκε αν πίστευε ότι ο τότε Διευθύνων Σύμβουλος της Uber θα έπρεπε να είχε θεωρηθεί υπεύθυνος, ο Σάλιβαν είπε: «Δεν νομίζω ότι κάποιος έκανε κάτι λάθος στο τέλος της ημέρας».

«Η Uber δεν θα υπήρχε σήμερα – στην πραγματικότητα, θα παίρναμε ακόμα ταξί – αν δεν ήταν [Kalanick] και την απόλυτη δύναμη του», πρόσθεσε ο Σάλιβαν. «Από τα πάνω, οδήγησε κάποια αλλαγή στον κόσμο. Ωστόσο, το μειονέκτημα, η φιλοσοφία του ήταν ότι το άτομο που έριξε την πρώτη γροθιά κερδίζει τον αγώνα».

Διόρθωση μιας χαλασμένης βιομηχανίας

Σε αυτό που ο Sullivan περιγράφει ως «τη μεγαλύτερη ειρωνεία της καριέρας του», μέρος του ρόλου του στο Υπουργείο Δικαιοσύνης τον περιέλαβε να συνεργάζεται στενά με οργανισμούς στη Silicon Valley προκειμένου να ενθαρρύνει περισσότερη συνεργασία με την κυβέρνηση. «Αυτή ήταν η ιστορία της καριέρας μου. προσπαθώντας να πείσουμε τον δημόσιο και τον ιδιωτικό τομέα να συνεργαστούν».

Ο Sullivan πιστεύει ότι στο μέλλον, αυτή η συνεργασία δημόσιου-ιδιωτικού τομέα, μαζί με ισχυρές ρυθμίσεις, είναι ο μόνος τρόπος για να διορθωθεί η «σπασμένη» βιομηχανία κυβερνοασφάλειας.

«Όταν έγινα μέλος, [Uber] είχε τη χειρότερη ασφάλεια από οποιαδήποτε εταιρεία 40 δισεκατομμυρίων δολαρίων, και αυτή δεν μπορεί πλέον να πετάξει στον κόσμο. Εάν πρόκειται να πουλήσετε ένα προϊόν, η ασφάλειά σας πρέπει να είναι αρκετά καλή την ημέρα που το πουλάτε», είπε ο Sullivan. «Θα μπορούσα να είμαι πολύ πικραμένος με την ιδέα της κυβερνητικής ρύθμισης από τότε που ήμουν υπό ρύθμιση, αλλά πιστεύω επίσης ότι τη χρειαζόμαστε για να λειτουργεί καλά το διαδίκτυο στο μέλλον».

Ο Σάλιβαν επαίνεσε την Επιτροπή Ασφάλειας και Ανταλλαγών των ΗΠΑ κανόνες αποκάλυψης παραβίασης εισερχόμενων δεδομένων, το οποίο τίθεται σε ισχύ στις 15 Δεκεμβρίου, σημειώνοντας ότι αν και δεν είναι τέλειο, είναι πολύ καλύτερο από το να έχετε μηδενική καθοδήγηση. «Μπορούμε να ξεχωρίσουμε τις λεπτομέρειες όσο θέλουμε, αλλά αυτός είναι ο σωστός τρόπος για να το κάνουμε», είπε. «Φαίνεται ότι είμαι το άτομο που επικρίνει την SEC λιγότερο από όλους τους άλλους γιατί πιστεύω ότι πρέπει να τους επαινούμε που προσπαθούν να βάλουν κανόνες».

Όσον αφορά τους ΟΚΠ και τους CISO, πολλοί από τους οποίους εξακολουθούν να ανησυχούν ότι θα θεωρηθούν προσωπικά υπεύθυνοι για αστοχίες ασφάλειας στον οργανισμό τους, ο Sullivan πιστεύει ότι τώρα είναι η ώρα να μιλήσουμε ανοιχτά για να διαμορφώσουμε οποιονδήποτε μελλοντικό κανονισμό.

«Πρέπει να τραβήξουμε τους εαυτούς μας, πρέπει να μάθουμε την πολιτική πλευρά του και πρέπει να μάθουμε πώς να κάνουμε τη φωνή μας να ακουστεί», είπε ο Sullivan στο TechCrunch. «Νομίζω ότι πρέπει να αναπτύξουμε ηγέτες που μπορούν να είναι πραγματικοί ηγέτες της κοινωνίας που είναι ειδικοί στο επάγγελμά μας».



VIA: techcrunch.com

Follow TechWar.gr on Google News

Απάντηση