محکومیت نقض داده های Uber به مدیران امنیتی نشان می دهد که چه کاری را انجام ندهند
محکومیت جو سالیوان، رئیس سابق امنیت Uber، یک پیامد جنایی نادر برای مدیریت اجرایی یک هک است.
جو سالیوان، افسر ارشد امنیتی سابق اوبر، این هفته به دلیل پنهان کردن فعالانه نقض اطلاعات از کمیسیون تجارت فدرال ایالات متحده (FTC) و کتمان یک تبه کاری مجرم شناخته شد. این پرونده در دنیای امنیت و فناوری بازتاب پیدا کرده است زیرا ظاهراً اولین بار است که یک مدیر اجرایی به دلیل اتهامات مربوط به نقض داده ها علیه شرکت اجرایی با پیگرد کیفری روبرو می شود. همانطور که اعتقاد سالیوان ممکن است برای برخی نگران کننده باشد، ارزیابی عواقب برای مدیران امنیتی امری آسان و بی پرده است.
از افسران ارشد امنیتی گاهی اوقات به عنوان “افسران قربانی اصلی” یا “افسران فداکار” نام برده می شود، زیرا چالش های عملی تامین امنیت سازمان های عظیم بسیار زیاد است. این امری اجتناب ناپذیر است که شرکت ها از هک ها و نفوذها رنج ببرند و سازمان های مدنی بر عواقب آن نظارت می کنند. اکنون بسیاری نگران هستند که محکومیت سالیوان باعث شود که این نقش دلهره آور برای استعدادهای برتر جذابیت کمتری داشته باشد. اما وزارت دادگستری ایالات متحده این پرونده را بهعنوان فرصتی برای تعیین گاردهای محافظ در مورد رفتارهای قابل قبول – و غیرقابل قبول – در اقدام متوازن کننده پاسخ به تخلفات شرکتی قرار میدهد.
آنتونی ونس، پروفسور و محقق در ویرجینیا تک که بر چگونگی بهبود عملکردهای امنیت سایبری توسط افراد و سازمانها تمرکز میکند، میگوید: «این قطعاً تأثیری ترسناک خواهد داشت. «بیشتر مردم در مورد تفاوتهای ظریفی که در اینجا دخیل است نمیدانند، اما به طور کلی، نشان میدهد که ممکن است فردی برای نقض دادهها پاسخگو و محکوم شود، چیزی که هرگز اتفاق نیفتاده است. و این حتی برای یک مورد شدیدتر نیز ممکن است.”
مشکل سالیوان به نوامبر 2016 بازمیگردد، زمانی که اوبر با نقض دادهها مواجه شد که اطلاعات شخصی بیش از 57 میلیون کاربر از جمله رانندگان و مسافران را به خطر انداخت. این غول رایدشار تا نوامبر 2017، زمانی که مدیر اجرایی فعلی آن، دارا خسروشاهی، مسئولیت را بر عهده گرفت و سالیوان را به همراه وکیل شرکت، کریگ کلارک، اخراج کرد، این نقض را فاش نکرد. در سال 2018، اوبر 148 میلیون دلار برای تسویه حساب با دادستان های کل در سراسر ایالات متحده به دلیل نقض قوانین افشای نقض اطلاعات ایالتی پرداخت کرد.
با این حال، این اطلاع رسانی با تاخیر به خودی خود چیزی نیست که سالیوان را در تیررس وزارت دادگستری قرار داد. زمانی که سالیوان از هک سال 2016 مطلع شد، از قبل با FTC بر روی تحقیقات در حال انجام آن درباره نقض اطلاعات نامربوط دیگر Uber در سال 2014 کار می کرد. از جمله، سالیوان در مورد این حادثه و اقداماتی که اوبر از آن زمان برای بهبود عملکردهای امنیتی دیجیتال خود برداشته است، به FTC سوگند یاد کرد. 10 روز پس از ارائه این شهادت، او از نقض اطلاعات جدید مطلع شد. هکرها با تهدید به انتشار اطلاعاتی که دزدیده بودند در صورت عدم دریافت وجه اقدام به اخاذی از شرکت کردند.
سالیوان اکنون به دلیل رهبری تلاش برای سرپوش گذاشتن بر این نقض با پرداخت 100000 دلار به هکرها از طریق برنامه جایزه باگ این شرکت، محکوم شده است. مقامات می گویند که به عنوان بخشی از این معامله، او از هکرها خواسته است که داده های دزدیده شده را حذف کرده و یک توافقنامه عدم افشای این حادثه را امضا کنند. به گفته وزارت دادگستری، این اقدامات منجر به عدم گزارش یک جنایت شد و منجر به اتهام “محافظت از جنایت” گردید. او همچنین در سال 2020 متهم شد و این هفته به دلیل عدم اصلاح شهادت خود در آژانس در مورد شرایط امنیتی Uber پس از اطلاع از نقض در سال 2016، به ممانعت از روند رسیدگی FTC محکوم گردید.
شاون توما، شریک شرکت حقوقی Spencer Fane که متخصص در امنیت سایبری و مسائل مربوط به حریم خصوصی داده ها است، می گوید: «این یک مورد منحصر به فرد است زیرا تحقیقات FTC در حال انجام است. او به تازگی سوگند یاد کرده بود و مطمئناً موظف به تکمیل بیشتر و ارائه اطلاعات مرتبط به FTC بود.
توما، که اغلب با شرکتهایی که مسئولیت نقض دادهها را به عهده دارند کار میکند، میگوید که محکومیت بیشتر از نظر سابقه آتی، نگرانکننده است و محکومیت نادرست جرم محسوب می شود. در حالی که به نظر می رسد پیگرد قانونی اساساً ناشی از عدم اطلاع سالیوان از FTC در مورد نقض سال 2016 در طول تحقیقات آژانس بوده است، اتهام اخاذی می تواند این تصور عمومی را ایجاد کند که پرداخت پول به بازیگران باج افزار یا هکرهایی که سعی در اخاذی برای حفظ آن دارند، هرگز قانونی یا قابل قبول برای اخاذی پول برای حفظ خصوصی اطلاعات دزدیده شده نیست.
ونس میگوید: «این موقعیتها بسیار پربار هستند و سازمانهای مدنی تحت فشار بسیار زیادی قرار دارند. به نظر می رسد کاری که سالیوان انجام داد در جلوگیری از انتشار داده ها موفق بوده است، بنابراین در ذهنشان، آنها در محافظت از داده های کاربر موفق شدند. اما آیا من شخصاً این کار را می کردم؟ امیدوارم اینطور نباشه.”
سالیوان در بیانیهای در سال 2018 به نیویورک تایمز گفت: «وقتی کسانی که میخواستند اوبر را در یک نور منفی به تصویر بکشند، به سرعت پیشنهاد کردند که این یک سرپوش است، و من بسیار شگفتزده و ناامید شدم.
حقایق پرونده تا حدودی مشخص است به این معنا که سالیوان به سادگی اوبر را به پرداخت پول به جنایتکاران سوق نداده است. طرح او همچنین شامل ارائه این تراکنش به عنوان پرداخت پاداش باگ و جذب هکرها – که در اکتبر 2019 به انجام این نقض اعتراف کردند – برای امضای NDA بود. در حالی که افبیآی آشکارا از پرداخت پول به هکرها چشم پوشی نمیکند، مجری قانون ایالات متحده به طور کلی این پیام را ارسال کرده است که آنچه که بیش از همه برایش ارزش قائل است، اطلاعرسانی و وارد شدن به فرآیند پاسخگویی به تخلفات است. حتی وزارت خزانه داری نیز گفته است که اگر قربانیان به دولت اطلاع دهند و با مجریان قانون همکاری کنند، می تواند در مورد پرداخت ها به نهادهای تحریم شده انعطاف پذیرتر و ملایم تر باشد. در برخی موارد، مانند حمله باج افزار 2021 Colonial Pipeline، مقاماتی که با قربانیان کار می کنند، قادر به ردیابی پرداخت ها و تلاش برای بازگرداندن پول بوده اند.
توما میگوید: «این چیزی است که بیشترین نگرانی را برای من ایجاد میکند، زیرا پرداخت پول به مهاجم باجافزار میتواند در عموم بهعنوان تخلف مجرمانه تلقی شود، و سپس به مرور زمان میتواند به نوعی استاندارد پیشفرض تبدیل شود». از سوی دیگر، افبیآی مردم را به شدت تشویق میکند تا این حوادث را گزارش کنند، و من هرگز تجربه نامطلوبی از کار با آنها نداشتهام. تفاوتی بین پرداخت این پول به افراد بد برای خرید همکاری، و گفتن، وجود دارد: “ما تلاش خواهیم کرد تا آن را مانند جایزه باگ جلوه دهیم و از شما بخواهیم NDA را امضا کنید که نادرست است.” اگر وظیفه دارید FTC را تکمیل کنید، می توانید اطلاعات مربوطه را به آنها بدهید و قوانین اعلان نقض را رعایت کنید.
با این حال، توما و ونس هر دو خاطرنشان کردند که شرایط در ایالات متحده برای رسیدگی به موقعیتهای اخاذی دادهها و همکاری با مجریان قانون در مورد تحقیقات باجافزار از سال 2016 بهطور قابل توجهی تغییر کرده است. برای مدیرانی که وظیفه حفاظت از شهرت و دوام شرکت خود را بر عهده داشتند – علاوه بر دفاع از کاربران – گزینههای نحوه پاسخگویی چند سال پیش بسیار مبهمتر از اکنون بود. و این ممکن است دقیقاً هدف تلاش وزارت دادگستری برای محاکمه سالیوان باشد.
شرکتهای فناوری در ناحیه شمالی کالیفرنیا حجم زیادی از دادههای کاربران را جمعآوری و ذخیره میکنند. استفانی هیندز، وکیل آمریکایی روز چهارشنبه در بیانیهای درباره محکومیت گفت: ما از آن شرکتها انتظار داریم که از این دادهها محافظت کنند و در صورت سرقت اطلاعات توسط هکرها به مشتریان و مقامات مربوطه هشدار دهند. سالیوان به طور مثبت تلاش کرد تا نقض اطلاعات را از کمیسیون تجارت فدرال پنهان کند و اقداماتی را برای جلوگیری از دستگیر شدن هکرها انجام داد. در صورتی که چنین رفتاری ناقض قوانین فدرال باشد، تحت پیگرد قانونی قرار خواهد گرفت.»
“سالیوان هنوز محکوم نشده است “- فصل دیگری از حماسه که بدون شک مدیران امنیتی به شدت آن را تماشا خواهند کرد- .
داستان های Wired عالی بیشتر:
? آخرین اخبار در زمینه فناوری، علم و موارد دیگر: خبرنامه های ما را دریافت کنید!
لیلی هی نیومن یک نویسنده ارشد در WIRED است که بر امنیت اطلاعات، حریم خصوصی دیجیتال و هک تمرکز دارد. او قبلاً به عنوان گزارشگر فناوری در مجله Slate کار می کرد و نویسنده کارکنان Future Tense، یک نشریه و پروژه Slate، بنیاد آمریکای جدید و دانشگاه ایالتی آریزونا بود.