Las lecciones aprendidas de la brecha de datos de Uber en 2016 a través de su exCISO, Joe Sullivan
¿La condena de Joe Sullivan por obstrucción en el informe de la violación de la privacidad de Uber provocará un terremoto en la profesión de ciberseguridad?
El papel de Joe Sullivan como CISO de Uber supuso un cambio de su trabajo anterior, procesando a los ciberdelincuentes como asistente del fiscal federal, a estar más cerca de la punta de lanza de la ciberseguridad. Como profesional de primer nivel en el negocio de la defensa contra los malos, fue inesperado y bastante irónico llegar a encontrarse del otro lado del sistema de justicia. El 4 de mayo de 2023, fue sentenciado a tres años de libertad condicional por obstrucción y no informar de una infracción en 2016 en la empresa que amenazó con exponer los datos de 600.000 conductores y la información personal asociada a 57 millones de pasajeros. En una entrevista con CSO Online, ha dicho que está menos preocupado por su destino personal que por la posibilidad de que todo este episodio haga que los CISO se preocupen más por protegerse a sí mismos de un enjuiciamiento agresivo que por ayudar a sus organizaciones.
“Sería una tragedia si el resultado de este caso fuera lo contrario de lo que pretendían los fiscales, y los líderes de seguridad se preocuparan más por el riesgo para ellos mismos que por el de las víctimas”, argumenta. “Nuestro objetivo como comunidad debe ser que los líderes de seguridad estén más empoderados, con más recursos y más defendidos bajo el liderazgo de sus empresas”.
El veredicto de Sullivan causó ansiedad entre los profesionales de la ciberseguridad
El caso de Sullivan ha causado mucha ansiedad entre los profesionales de la ciberseguridad, generando temores de que ellos mismos puedan enfrentar sanciones legales por el simple hecho de hacer su trabajo. Pero también ha galvanizado a la comunidad. Sullivan destaca su gratitud por los cientos de cartas de apoyo que recibió, las cuales, asegura, lo ayudaron en los momentos más difíciles. Sus abogados enviaron 186 de esas misivas al juez de sentencia William Orrick, lo que él cree que es la razón clave por la que no fue a prisión.
Las cartas citaban el historial ejemplar de Sullivan como un firme defensor de la ciberseguridad con reputación en empresas de comercio electrónico en crecimiento, incluidas eBay y Facebook, en las que desarrolló sus programas de seguridad y privacidad. Había textos que decían que el su trabajo en esas organizaciones había puesto tras las rejas a numerosos estafadores y depredadores de niños.
Miedo y confusión sobre la responsabilidad
Las cartas también revelan una sensación subyacente de miedo y confusión en torno al tema cambiante de quién es responsable del manejo de las infracciones. Algunos afirman que, si el punto de este caso es la disuasión (motivación para errar por el lado de la precaución en el informe de incumplimiento), entonces, mensaje recibido. Muchos explican lo difícil que es el papel, lo dinámica que puede ser la respuesta a las infracciones y la falta de directrices federales claras para la notificación.
Los extractos a continuación son de una sola carta, "Anexo 19", con fecha original del 27 de febrero de 2023 y firmada por casi 50 ejecutivos de ciberseguridad:
“Una sentencia de prisión tendría un impacto negativo en nuestra industria, así como en la seguridad de las empresas y los consumidores en todo el mundo, al hacer que tomar decisiones difíciles en situaciones únicas, que requiere esta línea de trabajo, sea demasiado arriesgado personalmente.
“Este caso sugiere que podríamos enfrentar responsabilidades tanto penales como civiles si, por ejemplo, deferimos la autoridad de toma de decisiones de los asesores generales, directores ejecutivos u otros funcionarios sobre las obligaciones de divulgación u otras decisiones difíciles, que resultan ser inapropiadas. en retrospectiva."
“El caso ha tenido un gran impacto en la comunidad de ciberseguridad. Ha sido el tema de frecuentes conversaciones del equipo ejecutivo y paneles de discusión en seminarios de la industria, y un importante impulsor de los esfuerzos para cambiar las políticas y prácticas para errar en el lado de la divulgación, incluso cuando el requisito legal para hacerlo sigue sin resolverse”.
Ejecutivos de seguridad asustados un mal resultado
Uno de los firmantes de esa carta fue Chenxi Wang, un ejecutivo experimentado en ciberseguridad y socio gerente de Rain Capital, que invierte en nuevas empresas de ciberprotección. “Este caso es una llamada de atención para todos los CISO. Y como resultado, estos ya están buscando mejores procesos y controles para la respuesta y la generación de informes", asevera.
En sus declaraciones en la audiencia de sentencia, el fiscal Andrew Dawson no simpatizaba con los CISO que escribieron en nombre de Sullivan. Señalando la carta anterior, dijo: “La impresión es que no ocurrió ningún crimen aquí. Esta es una industria difícil, se toman decisiones difíciles, tal vez fue un error de buena fe, pero eso es todo. A menos que haya un interés desenfrenado de toda la industria en la obstrucción de la justicia, las lecciones de este caso son... Siga la ley, siga las reglas, no retenga información de una investigación activa y en curso".
Surge un punto clave de confusión cuando el hecho de no informar una infracción se convierte en obstrucción y error, especialmente cuando existe presión sobre los CISO para evitar divulgar información sobre infracciones y la respuesta que podrían crear aún más vulnerabilidades para que los atacantes las aprovechen.
En una carta al juez de sentencia, Samuel Levine, director de la Oficina de Protección al Consumidor de la Comisión Federal de Comercio de EE. UU. lo expresó de esta manera: “Como consecuencia de las acciones del acusado Sullivan, el personal de la FTC se vio obligado en 2017 a reabrir su investigación completa de las prácticas de seguridad de datos de Uber y renegociar un acuerdo de consentimiento propuesto pendiente en ese momento relacionado con una violación de datos similar en 2014”.
Las directrices para la notificación de infracciones aún no están claras
El juez reconoció los esfuerzos de Sullivan para contener la violación y recuperar los registros robados engañando a los dos piratas informáticos para que firmaran un NDA y usándolo para rastrear sus direcciones IP, y proporcionando evidencias que luego se usó para condenar a los ciberdelincuentes por conspiración para cometer extorsión. Pero el juez también dijo que debido a que no informaron en 2016, sus arrestos se retrasaron hasta 2017 cuando la violación fue informada por la nueva junta directiva de Uber.
Todos los que siguen este caso tienen una opinión sobre si Sullivan tenía razón o no en las decisiones que tomó. Pero como revelan los detalles, la respuesta no es tan blanca o negra. Los antecedentes de Sullivan como exasistente del fiscal de distrito, que Uber había sido vilipendiado en ese momento por escándalos pasados, y la evidente falta de orientación federal para informar sobre infracciones, tuvieron que ver con su resultado.
“Para ser justos con los CISO, no hay mucha orientación sobre qué revelar a quién y cuándo, y cada estado tiene una ley diferente. Estas pueden ser decisiones de juicio difíciles: estás en un aprieto y no es fácil averiguar qué revelar ni a quién, especialmente en una empresa como Uber”, indica Rob Chesnut, exdirector de ética de Airbnb.
Chesnut, quien pasó un año en la junta asesora de seguridad de Uber de 2015 a 2016, cree firmemente que “el abogado general es el que debería ser responsable de tomar la decisión sobre si reportar una infracción.
Duras lecciones aprendidas en el caso de incumplimiento de Uber
Chesnut aconseja a los CISO que mantengan una relación estrecha con el consejo general y se aseguren de que haya un esfuerzo grupal, incluido el consejo externo, para tomar tales decisiones. Sullivan dijo lo mismo durante la audiencia de sentencia cuando le dijo a Orrick que debería haber informado al abogado general, a pesar de que él, el director ejecutivo y el abogado general estaban viajando en otros negocios de Uber en el momento de la violación. Sullivan también admitió que debería haber buscado un abogado externo más allá de los propios abogados de Uber. Chesnut aboga por tener un abogado externo alineado para casos como estos, junto con establecer una cadena de mando documentada y luego practicar escenarios de incumplimiento reportables en ejercicios de simulación.
.
La cultura de Uber podría haber jugado un papel en el resultado
¿Qué cambió? Chesnut plantea la hipótesis de que la cultura secreta de Uber puede haber anulado las inclinaciones de Sullivan. Sin embargo, agrega: “La idea de que Joe debería ser el único responsable de esto es incorrecta. Él fue el responsable de permitir que la decisión del CEO se mantuviera. Pero claramente fue el chivo expiatorio ya que el nuevo CEO entrante estaba tratando de limpiar la reputación de Uber a la vista del público”.
Uber tiene su sede en San Francisco. La ley de California requiere que una empresa o agencia estatal “notifique a cualquier residente de California cuya información personal no cifrada, como se define, fue adquirida, o se cree razonablemente que ha sido adquirida, por una persona no autorizada”. La ley no dice que las organizaciones no tienen que informar si la empresa logra recuperar esos datos antes de que se difundan en la dark web, que fue el argumento que usó Clark y Sullivan aceptó para no informar la infracción a los reguladores.
¿Es más fácil ser un denunciante que denunciar?
Según la ley de California, Uber debería haber informado; si no, entonces Sullivan debería haber informado. Tal como resultaron las cosas, habría sido mucho más fácil ser tildado de denunciante contra Uber que tratar de recoger los pedazos de su vida después de un cargo y condena por un delito grave.
En el momento en que se presentaron los cargos, sus bancos y compañías de seguros lo abandonaron. Tuvo que maniobrar para proteger a sus tres hijos que leían sobre él en las redes sociales. Y ahora, volver al trabajo que ama como CISO estará siempre en duda. “He estado bajo esta ansiedad durante mucho tiempo. Había subestimado el resultado en cada etapa. Finalmente, me preparé mentalmente para ir a prisión. Y ahora es el momento de descubrir la realidad de lo que puedo y no puedo hacer bajo los términos de mi libertad condicional”.
Sullivan quiere usar su caso para reunir a los líderes de seguridad para que trabajen juntos y con los legisladores a fin de aclarar las reglas y la responsabilidad de los informes y finalmente redactar una ley nacional de informes y violación de datos. También le gustaría abogar por más apoyo y apoyo para los CISO a nivel de directorio y, a su vez, promover la transparencia entre la seguridad y el liderazgo.
Como muestra este caso de Uber, no espere que los líderes jueguen limpio cuando su propia reputación o su libertad están en juego. Porque, como señaló Orrick en la audiencia de sentencia: “Si tengo un caso similar mañana, incluso si el acusado tuviera el carácter del Papa Francisco, iría a prisión”.
