Cyberbezpieczeństwo

Były szef bezpieczeństwa Ubera usłyszał zarzuty. Jest winny zatajenia cyberataku

fot. Tingey Injury Law Firm/ Unsplash/ Domena publiczna

Były szef bezpieczeństwa Ubera Joseph Sullivan usłyszał zarzuty karne – jest winny zatajenia cyberataku na firmę z 2016 roku. O sprawie pisaliśmy wcześniej w naszym serwisie.

Proces w sprawie Sullivana trwał trzy tygodnie. O tym, że ruszył, pisaliśmy na łamach CyberDefence24.pl w tym materiale .

Sullivanowi grozi teraz kara pozbawienia wolności w wymiarze pięciu lat, oraz dodatkowe trzy lata za niepowiadomienie organów ścigania o przestępstwie, w sprawie którego miał wiedzę.

Szara strefa cyberbezpieczeństwa

Proces Sullivana był uważnie obserwowany przez społeczność ekspertów z branży. Jak już pisaliśmy wcześniej, sprawa wzbudziła liczne kontrowersje, a opinie wokół niej podzieliły się – nie wszyscy przedstawiciele sektora uważają, że Sullivan zrobił źle zatajając kwestię cyberataku.

Przypomnijmy: krótko po gigantycznym cyberataku z 2016 roku, w sprawie którego śledztwo wszczęła amerykańska Federalna Komisja Handlu, Uber padł ofiarą kolejnego incydentu. Hakerzy uzyskali wówczas nieuprawniony dostęp do danych, a Sullivan po konsultacjach z prawnikami firmy ukrył ten fakt przed organami.

Czytaj też

Zapłacił za to sprawcom żądany przez nich okup w wysokości 100 tys. dolarów, przedstawiając tę sumę jako nagrodę w ramach programu bug bounty, całość incydentu zaś przed opinią publiczną określił jako „planowane ćwiczenia bezpieczeństwa".

Według dziennika „Wall Street Journal", sprawa Sullivana uwydatnia problemy „szarej strefy", w której często poruszają się zespoły odpowiedzialne za cyberbezpieczeństwo, kiedy muszą udzielać odpowiedzi na incydenty bezpieczeństwa.

Zdaniem prawników Sullivana, jego decyzja pozwoliła ochronić dane 57 mln osób – zatem przełożyła się na ogólną korzyść dla pokrzywdzonych osób.

Okup dla hakerów środkiem do ukrycia przestępstwa

W opinii prokuratury, pieniądze, które Sullivan zapłacił hakerom w ramach okupu, były z jego strony środkiem do ukrycia przestępstwa i ostatecznie przyczyniły się do tego, że o incydencie nie dowiedziały się odpowiednie organy (w tym wypadku – Federalna Komisja Handlu, FTC).

Proces, jak pisze „WSJ", skoncentrował się wokół praktyk Joego Sullivana, gdy ten był szefem bezpieczeństwa Ubera a jednocześnie dowodził zespołem w czasie, w którym firma znalazła się pod lupą FTC ze względu na wcześniejszy incydent bezpieczeństwa z tego samego roku.

Czytaj też

Pracownicy podlegli Sullivanowi po wpłacie okupu dla hakerów mieli mieć fałszywe poczucie że wykradzione przez sprawców dane będą bezpieczne – cyberprzestępcy po wypłacie okupu dostali też od Ubera umowy zobowiązujące ich do zachowania poufności w tej sprawie.

Prezes firmy wiedział o sprawie

Ówczesny prezes Ubera Travis Kalanick miał wiedzieć o całym incydencie – wynika z dowodów, które zostały przedstawione podczas procesu Sullivana.

Po ujawnieniu całej sprawy Kalanick ustąpił ze stanowiska pod naciskiem inwestorów Ubera, a zastąpił go Dara Khosrowshahi, który obiecał prowadzić firmę w innym kierunku i nie popełniać błędów poprzednika.

Khosrowshahi zajął się również wyjaśnieniem incydentu ukrytego przez Sullivana i zarządził wszczęcie dochodzenia w tej sprawie.

Jakie tajemnice ukrył Sullivan?

Z dochodzenia, które wszczął nowy prezes firmy, wynikło przede wszystkim, że po pierwsze okup, który firma zapłaciła hakerom, był wyższy niż początkowo deklarowana kwota.

Czytaj też

Inną kwestią jest to, że spora część danych wykradzionych przez hakerów została od nich pobrana przez niewiadome podmioty.

Jak oceniana jest sprawa?

Dziennik „WSJ" odnotowuje, że przede wszystkim traktowana jest bardzo poważnie. To wielka rzadkość, aby specjaliści od cyberbezpieczeństwa mieli stawiane zarzuty karne w związku z tym, że do firmy, w której pracowali, włamali się hakerzy – pisze gazeta, powołując się na opinię ekspercką z branży prawa i etyki biznesu. Jak zauważa cytowany przez dziennik profesor Indiana University Scott Shackelford, „nie tak dawno rzadkością było jednak również to, że po wycieku danych liderzy (działów cyberbezpieczeństwa – red.) byli zwalniani z pracy".

Jak widać, czasy się zmieniają.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także