Герой или «козел отпущения» для ИБ-сообщества? Рассказываем историю одного начальника службы безопасности Uber
Привет, хабр! Мы с очередным постом из серии «интересное на иностранном языке» – история про экс-начальника службы безопасности Uber Джозефа Салливана, которого обвиняют в сокрытии кибератаки. Теперь ему грозит до восьми лет тюрьмы и шестизначный штраф. Примечательно, что к истории Джозефа, а точнее к судебному процессу, сейчас приковано внимание чуть ли не всего сообщества ИБ-руководителей США. Действительно, дело Джо можно назвать своего рода «киберпрецедентом» для инфобеза, ведь это первый случай, когда начальника службы безопасности компании обвиняют в «сокрытии преступления и воспрепятствовании правосудию». Но обо всем по порядку.
Как из «рок-звезды» мира информационной безопасности сделали «козла отпущения» и почему история заставила ИБ-специалистов задуматься, а надо ли стремиться к высоким должностям? Об этом в статье The New York Times, перевод которой читайте ниже.
«Его все знали», или Кто этот Джо Салливан?
Джо Салливан – видная фигура в мире инфобеза еще с 1990-х годов. В то время Джо стал одним из первых федеральных прокуроров, который расследовал киберпреступления. С 2002 года он пришел в корпоративную безопасность и занимал высокие должности в качестве начальника службы безопасности в компаниях Facebook и Uber, в последней он проработал с 2015 по 2017 год. При этом, решение Джо Салливана присоединиться к Uber было «победой» эйчаров компании, которая тогда терпела нападки пользователей и водителей, недовольных политикой защиты данных. Джозефу Салливану доверили ответственную миссию – защищать данные Uber.
«Все его знали. Он был лидером отрасли», – охарактеризовала Салливана директор по ИБ Coca-Cola и Campbell Soup Renee Guttmann. Поэтому многих шокировало увольнение Джо из Uber в 2017 году, да и еще и за инцидент, который Салливан скрыл.
Итак, об инциденте и о том, почему Салливан его скрыл
В 2016 году из-за дыры в безопасности хакеры получили доступ к 57 миллионам пользовательских данных Uber. Джо Салливан был потрясен случившимся инцидентом и «не мог поверить», что они с командой допустили такое нарушение.
Компания узнала об утечке постфактум, когда хакеры написали письмо о том, что получили доступ данным. Затем киберпреступники потребовали выкуп. Салливан, будучи начальником службы ИБ, и другие сотрудники договорились с хакерами о выплате 100 тысяч долларов – и подписали с ними соглашение о неразглашении. Выкуп хакерам «оформили» через программу «bug bounty».
Когда правда раскрылась?
Об утечке 57 миллионов данных общественность узнала только в 2017 году, когда новый исполнительный директор Uber Дара Хосровшахи уволил Джо Салливана. А в 2020 году федеральная прокуратура (по иронии судьбы герой рассказа проработал там не один десяток лет), предъявила ему обвинения в совершении двух уголовных преступлений: препятствование правосудию и сокрытие утечки данных от Federal Trade Comission (FTC), которая в тот этот момент как раз расследовала другую аналогичную утечку Uber. Оказалось, что в 2014 году Uber допустил утечку клиентских данных, в 2016 году FTC все еще занималась расследованием этого инцидента. Салливан знал о расследовании комиссии, беседовал со следователями под присягой, но вместо того, чтобы сообщить им, что у Uber опять случилась утечка, хакерам заплатили выкуп через «bug bounty» и попытались замять дело. Надзорные органы посчитали выплату гонорара по Bug Bounty «сокрытием инцидента». Хотя сами эксперты программы были этому удивлены, ведь технологические компании часто вознаграждают хакеров, которые находят уязвимости в инфраструктуре и сообщают об этом.
На момент расследования Салливан уже работал начальником службы безопасности в компании Cloudflare. Но злосчастный инцидент, произошедший с Джо в Uber, бросил тень и на дальнейшую карьеру. В связи с обвинениями Салливану пришлось уйти с новой работы в Cloudflare и приступить к подготовке к судебному разбирательству.
Если Салливан будет признан виновным по обоим пунктам обвинения, ему может грозить до восьми лет тюрьмы. В рамках расследования и хакеры, причастные к инциденту, признали себя виновными. Каждому из них может грозить до пяти лет лишения свободы (да-да, меньше, чем Салливану).
Что думает ИБ-общественность
Один из сотрудников отдела ИБ, которым руководил Салливан, признался, что не был удивлен обвинениям, предъявленным в адрес своего экс-начальника. Сотрудник сослался на агрессивный стиль управления Салливана. При этом он отметил, что не видит никакой проблемы в том, чтобы выплачивать хакерам вознаграждение за то, что они нашли уязвимость. Еще один бывший сотрудник службы безопасности Uber, уволившийся за несколько месяцев до инцидента, считает, что из Джозефа Салливана делают «козла отпущения».
Другие ИБ-специалисты, которые общались с журналистами The New York Times обеспокоены тем, что только Джо Салливана привлекли к ответственности. Они считают, что это не ответственность начальника ИБ сообщать общественности об инциденте. По их мнению, такие вопросы чаще всего решаются с юридическим отделом и исполнительным директором (бывший исполнительный директор, кстати, отказался от комментариев).
А что же сам Джо Салливан говорит?
Когда в 2020 году прокуратора предъявила обвинения Джо, он не признал вину. А его представитель заявил, что Салливан действовал с одобрения юридического отдела Uber, и обвинения против него беспочвенны. Он также считает, что если бы не Джозеф Салливан, хакеров, похитивших данные, так и не удалось бы идентифицировать. Поэтому ответственность должен нести не директор по ИБ, а юридический отдел, который отвечал за принятие решения по инциденту и выплате выкупа хакерам. Компания Uber в тот момент отказалась от комментариев.
На ком тогда вина?
Директора по информационной безопасности несут ответственность за то, чтобы данные их компаний оставались защищены от хакеров и инсайдеров. Но можно ли с уверенностью сказать, что в условиях постоянных кибератак на крупнейшие компании и сервисы хакеры не пробьют даже самую надежную защиту, а ИБ-руководитель не пойдет под суд? Работа руководителей по ИБ становится более сложной и ответственной. А после дела Салливана многие задумываются, что будет с ними, если они допустят ошибку и их компания станет жертвой киберпреступников.
И тут многие ИБ руководители вспомнили о Directors and Officers insurance (D&O) – страховке, которая покрывает убытки и расходы на суд в случае исков, предъявленных руководству из-за непреднамеренных ошибок. Так, например, бывший директор по ИБ в интервью для The New York Times рассказал, что многие действующие руководители по ИБ пытаются получить такую страховку от своего руководства. Они считают, что раз они несут ответственность за «общее дело», то должны себя юридически обезопасить. Кстати, и сам Джо Салливан подал в суд на Uber, чтобы заставить бывшего нанимателя оплатить его судебные издержки. Сторонам даже удалось достигнуть частного урегулирования иска.
Итого
Прокуроры пытаются привлечь Салливана к уголовной ответственности как за то, что он не сообщил о втором нарушении, так и за разработку сложной схемы, чтобы скрыть инцидент от FTC, в том числе с помощью выкупа через программу «bug bounty».
Судебный процесс над экс-начальником ИБ Uber начался в середине сентября этого года. В качестве свидетеля уже выслушали гендиректора Дара Хосровшахи, уволившего Салливана в 2017 году. Хосровшахи заявил, что хоть Джозеф и был руководителем отдела по безопасности на тот момент, но доверять ему он больше не мог, поэтому и уволил. «Я чувствовал, что решение не раскрывать информацию о нарушении было неверным решением», – высказался генеральный директор Дара Хосровшахи.
С одной стороны Джозеф Салливан действительно нарушил закон и не сообщил об инциденте регуляторам, с другой стороны – действовал ли он самостоятельно или с подачи руководства и юридического отдела? Должен ли он нести наказание в одиночку, если руководство пыталось всеми силами сохранить репутацию компании и не придавать огласке инцидент? Посмотрим, что решит суд…
А пока мы переводили статью, подоспело и решение суда: присяжные признали Джозефа виновным по обоим пунктам.
И еще два вопроса, на закуску:
В чьих интересах должен действовать руководитель по ИБ: компании, закона или своих собственных?
Не злоупотребляют ли компании программой Bug Bounty для сокрытия своих проблем?