محکومیت نقض داده های Uber به مدیران امنیتی نشان می دهد که چه کاری را انجام ندهند

محکومیت جو سالیوان، رئیس سابق امنیت Uber، یک پیامد جنایی نادر برای مدیریت  اجرایی یک هک است.

جو سالیوان، افسر ارشد امنیتی سابق اوبر، این هفته به دلیل پنهان کردن فعالانه نقض اطلاعات از کمیسیون تجارت فدرال ایالات متحده (FTC) و کتمان یک تبه کاری مجرم شناخته شد. این پرونده در دنیای امنیت و فناوری بازتاب پیدا کرده است زیرا ظاهراً اولین بار است که یک مدیر اجرایی به دلیل اتهامات مربوط به نقض داده ها علیه شرکت اجرایی با پیگرد کیفری روبرو می شود. همانطور که اعتقاد سالیوان ممکن است برای برخی نگران کننده باشد، ارزیابی عواقب برای مدیران امنیتی امری آسان و بی پرده است.

از افسران ارشد امنیتی گاهی اوقات به عنوان “افسران قربانی اصلی” یا “افسران فداکار” نام برده می شود، زیرا چالش های عملی تامین امنیت سازمان های عظیم بسیار زیاد است. این امری اجتناب ناپذیر است که شرکت ها از هک ها و نفوذها رنج ببرند و سازمان های مدنی بر عواقب آن نظارت می کنند. اکنون بسیاری نگران هستند که محکومیت سالیوان باعث شود که این نقش دلهره آور برای استعدادهای برتر جذابیت کمتری داشته باشد. اما وزارت دادگستری ایالات متحده این پرونده را به‌عنوان فرصتی برای تعیین گاردهای محافظ در مورد رفتارهای قابل قبول – و غیرقابل قبول – در اقدام متوازن کننده پاسخ به تخلفات شرکتی قرار می‌دهد.

آنتونی ونس، پروفسور و محقق در ویرجینیا تک که بر چگونگی بهبود عملکردهای امنیت سایبری توسط افراد و سازمان‌ها تمرکز می‌کند، می‌گوید: «این قطعاً تأثیری ترسناک خواهد داشت. «بیشتر مردم در مورد تفاوت‌های ظریفی که در اینجا دخیل است نمی‌دانند، اما به طور کلی، نشان می‌دهد که ممکن است فردی برای نقض داده‌ها پاسخگو و محکوم شود، چیزی که هرگز اتفاق نیفتاده است. و این حتی برای  یک مورد شدیدتر نیز ممکن است.”

مشکل سالیوان به نوامبر 2016 بازمی‌گردد، زمانی که اوبر با نقض داده‌ها مواجه شد که اطلاعات شخصی بیش از 57 میلیون کاربر از جمله رانندگان و مسافران را به خطر انداخت. این غول رایدشار تا نوامبر 2017، زمانی که مدیر اجرایی فعلی آن، دارا خسروشاهی، مسئولیت را بر عهده گرفت و سالیوان را به همراه وکیل شرکت، کریگ کلارک، اخراج کرد، این نقض را فاش نکرد. در سال 2018، اوبر 148 میلیون دلار برای تسویه حساب با دادستان های کل در سراسر ایالات متحده به دلیل نقض قوانین افشای نقض اطلاعات ایالتی پرداخت کرد.

با این حال، این اطلاع رسانی با تاخیر به خودی خود چیزی نیست که سالیوان را در تیررس وزارت دادگستری قرار داد. زمانی که سالیوان از هک سال 2016 مطلع شد، از قبل با FTC بر روی تحقیقات در حال انجام آن درباره نقض اطلاعات نامربوط دیگر Uber در سال 2014 کار می کرد. از جمله، سالیوان در مورد این حادثه و اقداماتی که اوبر از آن زمان برای بهبود عملکردهای امنیتی دیجیتال خود برداشته است، به FTC سوگند یاد کرد. 10 روز پس از ارائه این شهادت، او از نقض اطلاعات جدید مطلع شد. هکرها با تهدید به انتشار اطلاعاتی که دزدیده بودند در صورت عدم دریافت وجه اقدام به اخاذی از شرکت کردند.

سالیوان اکنون به دلیل رهبری تلاش برای سرپوش گذاشتن بر این نقض با پرداخت 100000 دلار به هکرها از طریق برنامه جایزه باگ این شرکت، محکوم شده است. مقامات می گویند که به عنوان بخشی از این معامله، او از هکرها خواسته است که داده های دزدیده شده را حذف کرده و یک توافقنامه عدم افشای این حادثه را امضا کنند. به گفته وزارت دادگستری، این اقدامات منجر به عدم گزارش یک جنایت شد و منجر به اتهام “محافظت از جنایت” گردید. او همچنین در سال 2020 متهم شد و این هفته به دلیل عدم اصلاح شهادت خود در آژانس در مورد شرایط امنیتی Uber پس از اطلاع از نقض در سال 2016، به ممانعت از روند رسیدگی FTC محکوم گردید.

شاون توما، شریک شرکت حقوقی Spencer Fane که متخصص در امنیت سایبری و مسائل مربوط به حریم خصوصی داده ها است، می گوید: «این یک مورد منحصر به فرد است زیرا تحقیقات FTC در حال انجام است. او به تازگی سوگند یاد کرده بود و مطمئناً موظف به تکمیل بیشتر و ارائه اطلاعات مرتبط به FTC بود.

توما، که اغلب با شرکت‌هایی که مسئولیت نقض داده‌ها را به عهده دارند کار می‌کند، می‌گوید که محکومیت بیشتر  از نظر سابقه آتی، نگران‌کننده‌ است و محکومیت نادرست جرم محسوب می شود. در حالی که به نظر می رسد پیگرد قانونی اساساً ناشی از عدم اطلاع سالیوان از FTC در مورد نقض سال 2016 در طول تحقیقات آژانس بوده است، اتهام اخاذی می تواند این تصور عمومی را ایجاد کند که پرداخت پول به بازیگران باج افزار یا هکرهایی که سعی در اخاذی برای حفظ آن دارند، هرگز قانونی یا قابل قبول برای اخاذی پول برای حفظ خصوصی اطلاعات دزدیده شده نیست.

ونس می‌گوید: «این موقعیت‌ها بسیار پربار هستند و سازمان‌های مدنی تحت فشار بسیار زیادی قرار دارند. به نظر می رسد کاری که سالیوان انجام داد در جلوگیری از انتشار داده ها موفق بوده است، بنابراین در ذهنشان، آنها در محافظت از داده های کاربر موفق شدند. اما آیا من شخصاً این کار را می کردم؟ امیدوارم اینطور نباشه.”

سالیوان در بیانیه‌ای در سال 2018 به نیویورک تایمز گفت: «وقتی کسانی که می‌خواستند اوبر را در یک نور منفی به تصویر بکشند، به سرعت پیشنهاد کردند که این یک سرپوش است، و من بسیار شگفت‌زده و ناامید شدم.

حقایق پرونده تا حدودی مشخص است به این معنا که سالیوان به سادگی اوبر را به پرداخت پول به جنایتکاران سوق نداده است. طرح او همچنین شامل ارائه این تراکنش به عنوان پرداخت پاداش باگ و جذب هکرها – که در اکتبر 2019 به انجام این نقض اعتراف کردند – برای امضای NDA بود. در حالی که اف‌بی‌آی آشکارا از پرداخت پول به هکرها چشم پوشی نمی‌کند، مجری قانون ایالات متحده به طور کلی این پیام را ارسال کرده است که آنچه که بیش از همه برایش ارزش قائل است، اطلاع‌رسانی و وارد شدن به فرآیند پاسخگویی به تخلفات است. حتی وزارت خزانه داری نیز گفته است که اگر قربانیان به دولت اطلاع دهند و با مجریان قانون همکاری کنند، می تواند در مورد پرداخت ها به نهادهای تحریم شده انعطاف پذیرتر و ملایم تر باشد. در برخی موارد، مانند حمله باج افزار 2021 Colonial Pipeline، مقاماتی که با قربانیان کار می کنند، قادر به ردیابی پرداخت ها و تلاش برای بازگرداندن پول بوده اند.

توما می‌گوید: «این چیزی است که بیشترین نگرانی را برای من ایجاد می‌کند، زیرا پرداخت پول به مهاجم باج‌افزار می‌تواند در عموم به‌عنوان تخلف مجرمانه تلقی شود، و سپس به مرور زمان می‌تواند به نوعی استاندارد پیش‌فرض تبدیل شود». از سوی دیگر، اف‌بی‌آی مردم را به شدت تشویق می‌کند تا این حوادث را گزارش کنند، و من هرگز تجربه نامطلوبی از کار با آنها نداشته‌ام. تفاوتی بین پرداخت این پول به افراد بد برای خرید همکاری، و گفتن،  وجود دارد: “ما تلاش خواهیم کرد تا آن را مانند جایزه باگ جلوه دهیم و از شما بخواهیم NDA را امضا کنید که نادرست است.” اگر وظیفه دارید FTC را تکمیل کنید، می توانید اطلاعات مربوطه را به آنها بدهید و قوانین اعلان نقض را رعایت کنید.

با این حال، توما و ونس هر دو خاطرنشان کردند که شرایط در ایالات متحده برای رسیدگی به موقعیت‌های اخاذی داده‌ها و همکاری با مجریان قانون در مورد تحقیقات باج‌افزار از سال 2016 به‌طور قابل توجهی تغییر کرده است. برای مدیرانی که وظیفه حفاظت از شهرت و دوام شرکت خود را بر عهده داشتند – علاوه بر دفاع از کاربران – گزینه‌های نحوه پاسخگویی چند سال پیش بسیار مبهم‌تر از اکنون بود. و این ممکن است دقیقاً هدف تلاش وزارت دادگستری برای محاکمه سالیوان باشد.

شرکت‌های فناوری در ناحیه شمالی کالیفرنیا حجم زیادی از داده‌های کاربران را جمع‌آوری و ذخیره می‌کنند. استفانی هیندز، وکیل آمریکایی روز چهارشنبه در بیانیه‌ای درباره محکومیت گفت: ما از آن شرکت‌ها انتظار داریم که از این داده‌ها محافظت کنند و در صورت سرقت اطلاعات توسط هکرها به مشتریان و مقامات مربوطه هشدار دهند. سالیوان به طور مثبت تلاش کرد تا نقض اطلاعات را از کمیسیون تجارت فدرال پنهان کند و اقداماتی را برای جلوگیری از دستگیر شدن هکرها انجام داد. در صورتی که چنین رفتاری ناقض قوانین فدرال باشد، تحت پیگرد قانونی قرار خواهد گرفت.»

“سالیوان هنوز محکوم نشده است “- فصل دیگری از حماسه که بدون شک مدیران امنیتی به شدت آن را تماشا خواهند کرد- .

داستان های Wired عالی بیشتر:

? آخرین اخبار در زمینه فناوری، علم و موارد دیگر: خبرنامه های ما را دریافت کنید!

• آیا این همه هرج و مرج را برای کشوری در کلود کنار می گذارید؟
• این ابزار هنری هوش مصنوعی فانتزی و کابوس ایجاد می کند.
• خودروهای برقی می توانند شبکه برق ایالات متحده را نجات دهند.
• ویژگی جدید اعلان اندروید یک دهه به تاخیر افتاده است.
• نحوه استفاده از اولین ایمیل حریم خصوصی DuckDuckGo
• با پایگاه داده جدید ما هوش مصنوعی را مانند قبل کاوش کنید.
• بهترین ابزار را برای سلامتی می خواهید؟ انتخاب های تیم Gear ما را برای بهترین ردیاب های تناسب اندام، وسایل دویدن (از جمله کفش و جوراب) و بهترین هدفون بررسی کنید.

لیلی هی نیومن یک نویسنده ارشد در WIRED است که بر امنیت اطلاعات، حریم خصوصی دیجیتال و هک تمرکز دارد. او قبلاً به عنوان گزارشگر فناوری در مجله Slate کار می کرد و نویسنده کارکنان Future Tense، یک نشریه و پروژه Slate، بنیاد آمریکای جدید و دانشگاه ایالتی آریزونا بود.