Held oder Sündenbock für die Cybersecurity-Community? Erzählen Sie die Geschichte eines Uber-Sicherheitschefs

Hey habr! Wir sind bei einem weiteren Beitrag aus der Reihe „Interessant in einer Fremdsprache“ – einer Geschichte über den ehemaligen Uber-Sicherheitschef Joseph Sullivan, der beschuldigt wird, einen Cyberangriff vertuscht zu haben. Ihm drohen nun bis zu acht Jahre Haft und eine sechsstellige Geldstrafe. Es ist bemerkenswert, dass die Aufmerksamkeit fast der gesamten Gemeinschaft der US-amerikanischen Informationssicherheitsführer jetzt auf die Geschichte von Joseph gerichtet ist, oder besser gesagt auf den Prozess. Tatsächlich kann Joes Fall als eine Art „Cyber-Präzedenzfall“ für infobez bezeichnet werden, denn es ist das erste Mal, dass der Sicherheitschef des Unternehmens beschuldigt wird, „ein Verbrechen zu vertuschen und die Justiz zu behindern“. Aber der Reihe nach.

Wie wurde der „Rockstar“ der Welt der Informationssicherheit zum „Sündenbock“ und warum brachte die Geschichte Sicherheitsspezialisten dazu, darüber nachzudenken, ob es notwendig ist, nach hohen Positionen zu streben? Darüber im Artikel Die New York Timesdessen Übersetzung unten steht.

„Jeder kannte ihn“ oder „Wer ist dieser Joe Sullivan?

Joe Sullivan ist seit den 1990er Jahren eine herausragende Persönlichkeit in der Infobase-Welt. Zu dieser Zeit war Joe einer der ersten Bundesstaatsanwälte, der Cyberkriminalität untersuchte. Er ist seit 2002 in der Unternehmenssicherheit tätig und hatte leitende Positionen als Chief Security Officer bei Facebook und Uber inne, letzteres von 2015 bis 2017. Gleichzeitig war die Entscheidung von Joe Sullivan, sich Uber anzuschließen, ein „Sieg“ für die Personalabteilung des Unternehmens, die daraufhin von Benutzern und Fahrern angegriffen wurde, die mit den Datenschutzrichtlinien unzufrieden waren. Joseph Sullivan wurde mit einer verantwortungsvollen Mission betraut – dem Schutz der Daten von Uber.

„Jeder kannte ihn. Er war ein Branchenführer“, sagte Renee Guttmann, Direktorin für Informationssicherheit bei Coca-Cola und Campbell Soup, über Sullivan. Daher waren viele schockiert über die Entlassung von Joe bei Uber im Jahr 2017 und auch über einen Vorfall, den Sullivan vertuscht hatte.

nytimes.comnytimes.com

Also über den Vorfall und warum Sullivan ihn vertuscht hat.

Im Jahr 2016 verschaffte eine Sicherheitslücke Hackern Zugriff auf 57 Millionen Uber-Benutzerdaten. Joe Sullivan war entsetzt über den Vorfall und „konnte nicht glauben“, dass er und sein Team einen solchen Verstoß begangen hatten.

Das Unternehmen erfuhr erst im Nachhinein von dem Leak, als Hacker einen Brief schrieben, in dem stand, dass sie auf die Daten zugegriffen hätten. Daraufhin forderten die Cyberkriminellen Lösegeld. Sullivan, der Leiter des Informationssicherheitsdienstes, und andere Mitarbeiter einigten sich mit den Hackern auf eine Zahlung von 100.000 Dollar – und unterzeichneten mit ihnen eine Geheimhaltungsvereinbarung. Das Lösegeld an die Hacker wurde über das „Bug Bounty“-Programm „ausgegeben“.

Wann kam die Wahrheit ans Licht?

Die 57-Millionen-Datenpanne wurde erst 2017 öffentlich gemacht, als der neue Uber-CEO Dara Khosrowshahi Joe Sullivan feuerte. Und 2020 klagte ihn die Bundesanwaltschaft (ironischerweise arbeitete der Held der Geschichte dort mehr als ein Dutzend Jahre lang) wegen zweier Straftaten an: Behinderung der Justiz und Verschleierung eines Datenlecks vor der Federal Trade Commission (FTC). die in diesem Moment ein weiteres ähnliches Uber-Leck untersuchte. Es stellte sich heraus, dass Uber 2014 Kundendaten geleakt hatte, 2016 untersuchte die FTC diesen Vorfall noch. Sullivan wusste von den Ermittlungen der Kommission, sprach unter Eid mit den Ermittlern, aber anstatt ihnen zu sagen, dass Uber ein weiteres Leck hatte, erhielten die Hacker ein Lösegeld durch eine „Bug Bounty“ und versuchten, den Fall zu vertuschen. Die Aufsichtsbehörden betrachteten die Zahlung der Gebühr für die Bug Bounty als „Verschleierung des Vorfalls“. Obwohl die Programmexperten selbst davon überrascht waren, belohnen Technologieunternehmen häufig Hacker, die Schwachstellen in der Infrastruktur finden und melden.

Zum Zeitpunkt der Untersuchung arbeitete Sullivan bereits als Chief Security Officer für Cloudflare. Aber der unglückliche Vorfall, der Joe bei Uber passierte, warf einen Schatten auf seine zukünftige Karriere. Die Anschuldigungen veranlassten Sullivan, seinen neuen Job bei Cloudflare aufzugeben und sich auf einen Prozess vorzubereiten.

Wenn Sullivan in beiden Anklagepunkten für schuldig befunden wird, drohen ihm bis zu acht Jahre Gefängnis. Im Rahmen der Ermittlungen bekannten sich die an dem Vorfall beteiligten Hacker schuldig. Jedem von ihnen drohen bis zu fünf Jahre Gefängnis (ja, weniger als Sullivan).

Was denkt die Informationssicherheits-Community?

Einer der Mitarbeiter der von Sullivan geleiteten Informationssicherheitsabteilung gab zu, dass ihn die Vorwürfe gegen seinen Ex-Chef nicht überrascht hätten. Der Mitarbeiter zitierte Sullivans aggressiven Führungsstil. Gleichzeitig merkte er an, dass er kein Problem darin sehe, Hackern Belohnungen für das Finden einer Schwachstelle zu zahlen. Ein anderer ehemaliger Uber-Sicherheitsoffizier, der Monate vor dem Vorfall gekündigt hat, glaubt, dass Joseph Sullivan zum „Sündenbock“ gemacht wird.

Andere Sicherheitsexperten, die mit der New York Times gesprochen haben, sind besorgt, dass nur Joe Sullivan vor Gericht gestellt wurde. Sie glauben, dass es nicht Aufgabe des IS-Chefs sei, die Öffentlichkeit über den Vorfall zu informieren. Ihrer Meinung nach werden solche Probleme am häufigsten mit der Rechtsabteilung und dem Vorstandsvorsitzenden gelöst (der ehemalige Vorstandsvorsitzende wollte sich übrigens nicht äußern).

Was sagt Joe Sullivan selbst?

Als der Staatsanwalt 2020 Anklage gegen Joe erhob, bekannte er sich nicht schuldig. Und sein Vertreter sagte, dass Sullivan mit Zustimmung der Rechtsabteilung von Uber gehandelt habe und die Anschuldigungen gegen ihn unbegründet seien. Er glaubt auch, dass die Hacker, die die Daten gestohlen hätten, ohne Joseph Sullivan niemals identifiziert worden wären. Daher sollte die Verantwortung nicht beim Direktor für Informationssicherheit liegen, sondern bei der Rechtsabteilung, die für die Entscheidung über den Vorfall und die Zahlung des Lösegelds an die Hacker verantwortlich war. Uber wollte sich damals nicht äußern.

Wer ist dann schuld?

Chief Information Security Officers sind dafür verantwortlich, dass die Daten ihrer Unternehmen vor Hackern und Insidern geschützt bleiben. Aber kann man mit Sicherheit sagen, dass Hacker angesichts ständiger Cyberangriffe auf die größten Unternehmen und Dienste nicht einmal den zuverlässigsten Schutz durchbrechen und der Informationssicherheitsmanager nicht vor Gericht gehen wird? Die Arbeit von Informationssicherheitsmanagern wird komplexer und verantwortungsvoller. Und nach dem Fall Sullivan fragen sich viele, was mit ihnen passiert, wenn sie einen Fehler machen und ihr Unternehmen Opfer von Cyberkriminellen wird.

Und dann erinnerten sich viele Informationssicherheitsverantwortliche an die Directors-and-Officers-Versicherung (D&O) – eine Versicherung, die Verluste und Gerichtskosten abdeckt, falls Ansprüche gegen das Management wegen unbeabsichtigter Fehler geltend gemacht werden. So zum Beispiel der ehemalige Direktor für Informationssicherheit in einem Interview für die New York Times gesagtdass viele aktuelle Informationssicherheitsführer versuchen, eine solche Versicherung von ihrer Führung zu erhalten. Sie glauben, dass sie sich rechtlich absichern müssen, da sie für die “gemeinsame Sache” verantwortlich sind. Übrigens hat Joe Sullivan selbst Uber verklagt, um den ehemaligen Arbeitgeber zur Zahlung seiner Anwaltskosten zu zwingen. Den Parteien gelang es sogar, eine private Einigung des Rechtsstreits zu erreichen.

Gesamt

Die Staatsanwälte versuchen, Sullivan strafrechtlich zu verfolgen, sowohl weil er es versäumt hat, einen zweiten Verstoß zu melden, als auch weil er ein ausgeklügeltes Schema entwickelt hat, um den Vorfall von der FTC fernzuhalten, unter anderem durch ein „Bug-Bounty“-Lösegeld.

Der Prozess gegen den Ex-Chef der Uber-Informationssicherheit begann Mitte September dieses Jahres. als Zeuge bereits auf den CEO gehört Dara Khosrowshahi, die Sullivan 2017 feuerte. Khosrowshahi sagte, obwohl Joseph damals der Leiter der Sicherheitsabteilung war, könne er ihm nicht mehr vertrauen und habe ihn deshalb gefeuert. „Ich hatte das Gefühl, dass die Entscheidung, den Verstoß nicht offenzulegen, die falsche Entscheidung war“, sagte CEO Dara Khosrowshahi.

Einerseits hat Joseph Sullivan wirklich gegen das Gesetz verstoßen und den Vorfall nicht den Aufsichtsbehörden gemeldet, andererseits handelte er auf eigene Faust oder auf Vorschlag des Managements und der Rechtsabteilung? Soll er die Strafe allein tragen, wenn das Management mit aller Macht versucht, den Ruf des Unternehmens zu wahren und den Vorfall nicht öffentlich macht? Mal sehen was das Gericht entscheidet…

Und während wir den Artikel übersetzten, kam die Entscheidung des Gerichts: Die Geschworenen befanden Joseph in beiden Anklagepunkten für schuldig.

Und noch zwei Fragen, für einen Snack:

  • In wessen Interesse soll der Informationssicherheitsmanager handeln: das Unternehmen, das Gesetz oder seine eigenen?

  • Missbrauchen Unternehmen das Bug-Bounty-Programm, um ihre Probleme zu verbergen?

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *