优步公司前首席安全官从2016年的数据泄露事件中吸取的教训
像大多数首席安全官一样,Joe Sullivan被帮助防止网络犯罪的职位所吸引。他在优步(Uber)公司担任首席安全官的角色与之前作为助理检察官起诉网络犯罪分子的工作有所不同,但更接近于网络安全的前沿。作为曾经的法律人士,他发现自己已经站在司法系统的对立面,这是出乎意料的结果,也颇具讽刺意味。
2023年5月4日,Sullivan由于没有报告拼车和配送商优步(Uber) 公司2016年的数据泄露事件被判妨碍司法公正和隐瞒罪,被判处三年缓刑。在此次数据泄露事件中,网络攻击者威胁要泄露60万名优步司机的数据和5700万名乘客的个人信息。在接受行业媒体的采访时,Sullivan表示,他更关心的不是自己的命运,而是整个事件可能会导致其他的首席信息安全官更关心保护自己免受法律起诉,而不是保护他们所在的企业。
Sullivan说,“如果这个案件的结果与检察官的意图相反,网络安全领导人会更加关注自身的风险,而不是管理受害企业的风险,那么这将是一场悲剧。作为网络安全领域,我们的目标应该是让安全领导者在他们公司的领导下变得更有权力、更有资源、更受支持。”
Sullivan的判决引起了网络安全专业人士的焦虑
Sullivan的案件在网络安全专业人士中引起了很大的焦虑,他们担心自己可能会因为自己的工作而面临法律处罚,但它也激励了该领域更加重视网络安全。Sullivan对他收到的数百封支持信表示感谢,他说这些信帮助他度过了最困难的时期。他的律师将其中的186封信转给了量刑法官William Orrick,Sullivan认为这是他没有入狱的关键原因(尽管这些信件让法官感到恼火,Orrick在宣判时表示,他在过去的案件中从未收到过这么多支持信件)。
这些信中提到了Sullivan作为坚定的网络安全捍卫者的模范记录,他以帮助eBay公司和Facebook公司在内的不断发展的电子商务公司并建立其安全和隐私计划而闻名。有信件还声称,Sullivan在这些公司开展的工作使许多诈骗犯入狱,还提到了他在社区服务和外联活动中的优秀表现。
对首席安全官责任的恐惧和困惑
这些信件还揭示了人们对谁应对数据泄露事件负责这一不断变化的问题的潜在恐惧和困惑。一些人表示,如果本案的目的是威慑(在违规报告中谨慎行事的动机),那么网络安全行业人士收到了这一信息。许多人解释了首席安全官这一角色有多困难,违规反应有多动态,以及缺乏明确的违规报告指南。
以下内容摘自一封名为“证据19”的信件,收到的日期为2023年2月27日,并且有近50名网络安全高管签名:“法院判决将对我们的行业以及全球公司和消费者的安全产生负面影响,因为在这种工作需要的特殊情况下做出艰难的判断,个人面临风险太大。这起案件表明,如果我们在披露义务或其他困难决定方面听从法官、首席执行官或其他官员的决策,我们可能会面临刑事责任和民事责任,而这些决策在事后看来是不恰当的。
Sullivan的案件对网络安全界产生了巨大影响,现在一直是行业研讨会上高管团队频繁对话和小组讨论的主题,也是改变政策和做法以避免披露错误的重要驱动力,即使这样做的法律要求仍不明确。”
让网络安全管理人员害怕是糟糕的结果
这封信的签署人之一是王晨曦,她是Rain Capital公司经验丰富的网络安全高管和管理合伙人,Rain Capital公司主要投资于网络安全初创公司。她说:“这起案件给所有的首席信息安全官敲响了警钟。因此,首席信息安全官已经在寻找更好的流程和控制,以应对和报告网络攻击事件,这就是他们想要做的事情,但人们不希望安全主管担心自己的工作和责任。这是一个糟糕的结果。”
在量刑听证会上的陈述中,检察官Andrew Dawson对代表Sullivan写信的首席信息安全官们毫不同情。他指着上面的信说:“这些信给人的印象是,Sullivan没有犯罪。网络安全是一个艰难的行业,首席信息安全官需要做出艰难的决定,也许这是一个善意的错误,但仅此而已。除非整个行业对妨碍司法感兴趣,否则此案的教训是……遵守法律,遵守规则,不要对正在进行的积极调查隐瞒信息。”
当没有报告违规行为成为阻碍和误解时,特别是当首席信息安全官面临压力,要求他们避免披露有关违规行为和违规响应的信息时,就会出现一个关键的混淆点,因为这些信息可能会为网络攻击者带来更多漏洞。
美国联邦贸易委员会消费者保护局局长Samuel Levine在判案法官的一封信中这样写道:“由于被告Sullivan的行为,美国联邦贸易委员会的工作人员被迫在2017年重新开始对优步公司的数据安全措施进行调查,并就2014年优步公司发生的类似数据泄露事件重新谈判当时尚未达成的协议。”
在这种情况下,首席安全官最终是否应该承担责任?
另一个令人困惑的问题是:当文件记录显示Sullivan为响应团队建立了一个事件跟踪系统,并向当时的优步公司首席执行官Travis Kalanick和优步公司总法律顾问Craig Clark (他领导了优步公司对2016年事件的法律回应)通报并服从时,为什么首席安全官Sullivan要承担责任并被指控掩盖事实? Orrick声称此案是“史无前例”的,并根据判决记录在法庭上指出了这一点。他说,“我现在仍然很困惑,优步公司首席执行官Travis Kalanick为Sullivan写了一封信,而Kalanick并不在场。给我留下的印象是,他至少和Sulliva一样有罪,却没有人把他告上法庭。”
5月17日发布的Law360法律评论也提出了这个问题,重点是Travis Kalanick和优步公司总法律顾问Craig Clark都没有出庭,这是不寻常的情况,并指出Kalanick通过作证获得了政府豁免权。
Sulliva说:“我想了很多。如果你从来没有担任过首席安全官,那么你会很自然地得出的结论是,应该受到指责的人就是担任这个职位上的人。不过,首席安全官们并没有控制住数据泄露的规模,而首席执行官可以做到。首席安全官可以提出建议,但他们不是最终的决定者。这不是大多数人的选择,他们希望能继续在自己的位置上有所作为。”
正是优步公司总法律顾问Clark建议不要报告这一漏洞,因为Sulliva的安全团队能够在数据泄露到暗网上之前检索到数据。这就引出了另一个问题:如果黑客被抓获,他们的系统中敏感数据在泄露到暗网之前被删除,那么是否需要向监管机构报告?
违规报告准则仍不明确
法官承认,Sulliva通过诱骗两名黑客签署保密协议并利用保密协议跟踪他们的IP地址,为遏制入侵和检索被盗记录所做的努力,并提供了后来被用来判定黑客共谋勒索罪的证据。但法官也表示,由于2016年没有报告这一事件,对这些黑客的逮捕被推迟到2017年,当时优步公司的新领导层报告了这一违规行为。
每个关注此案的人都对Sulliva所做的决定是对还是错有自己的看法。但正如这一案件细节所揭示的那样,其答案并不是非黑即白。Sulliva曾担任过助理地方检察官,优步公司当时因过去的丑闻而受到诋毁,以及明显缺乏联邦政府对违规行为报告的指导,这些都对此案及其结果产生了一定影响。
Airbnb公司首席道德官Rob Chesnut说,“公平地说,对于首席信息安全官来说,没有太多关于何时向谁披露什么信息的指导,而且美国每个州都有不同的法律。这可能是一个艰难的判断,这让首席信息安全官陷入困境,不容易知道该向谁披露什么,尤其是在优步这样的公司。”他也是《有意的诚信:聪明的公司如何引领道德革命》一书的作者。
Chesnut从2015年到2016年在优步公司的安全顾问委员会工作了一年,他表示,他坚信应该由总法律顾问负责就是否报告违规行为做出法律决定。奇怪的是,优步公司的总法律顾问声称自己一无所知,尽管优步公司的一名律师参与其中,首席执行官对这一事件知情,而且该公司的很多工程团队都在努力解决违规行为。
从优步公司数据泄露案中吸取的惨痛教训
Chesnut建议首席信息安全官与企业的总法律顾问保持密切关系,并确保包括外部法律顾问在内的团队努力做出此类决定。Sullivan在量刑听证会上也这么陈述。他告诉法官,他应该通知总法律顾问Craig Clark,尽管Sullivan、首席执行官Travis Kalanick和总法律顾问Craig Clark在泄露事件发生时都在出差。Sulliva还承认,除了寻求优步公司的律师帮助之外,还应该寻求外部律师的帮助。Chesnut主张为这类案件聘请外部律师,同时建立一个记录在案的命令链,然后在桌面演习中实践可报告的违规场景。
当Chesnut在21世纪初担任eBay公司安全高级副总裁时,他从美国司法部招募了Sulliva,让他担任自己团队的高级主管。他回忆起Sulliva是如何亲自参与抓捕和起诉那些试图伤害eBay用户的网络犯罪分子,以及他是如何经常乘坐飞机去罗马尼亚等地出差。后来,在Facebook公司工作期间,Sulliva在儿童保护方面的工作获得了声誉。
优步公司的文化可能在这一结果中发挥了作用
这个案例改变了什么? Chesnut推测,优步公司的秘密文化可能已经影响了Sulliva的决定。然而,他补充道:“认为Sulliva应该对此事负全部责任的想法是错误的。他显然成了替罪羊,因为新上任的优步首席执行官正试图挽回优步公司在公众眼中的声誉。”
优步公司总部位于加州旧金山,这里是消费者隐私法的发源地。加州的法律要求企业或州政府机构“通知任何未经授权的人获取或合理认为已获取未加密个人信息的加利福尼亚居民。”但法律并没有说,如果企业设法在数据在暗网上传播之前检索到这些数据,企业就不必报告,而这是Clark使用的论点,Sulliva也接受了这一论点,因为他没有向监管机构报告违规行为。
成为举报人比被指控更容易?
根据加州法律,优步公司应该向相关机构报告;如果没有,那么Sulliva应该报告。事实证明,举报优步公司的违规行为要比在受到重罪指控并被定罪之后的结果要容易得多。
在被指控之后,Sulliva的工作和生活受到了严重的影响。他必须设法保护他的三个孩子的安全和隐私,因为他们在社交媒体上看到了有关Sulliva案例的消息。Sulliva现在不可能回到他热爱的首席信息安全官的岗位上。他说,“我已经焦虑了很长时间。我在每个阶段都低估了结果。最后,我在心理上做好了入狱的准备。现在是我弄清楚在缓刑期间该做什么的时候。”
Sulliva希望利用他的案件能够为网络安全领导人提供一个警醒,与立法者共同努力,澄清报告规则和责任,并最终起草一项数据泄露和报告法规。他还希望企业在董事会层面为首席信息安全官提供更多支持和培养,从而提高安全和领导层之间的透明度。
正如优步公司数据泄露事件所表明的那样,当企业领导者的声誉或人身自由受到威胁时,不要指望他们会公平行事。
