當前位置：安全 → 行業動態 → 正文

優步公司前首席安全官從2016年的數據泄露事件中吸取的教訓

責任編輯：cres 作者：Deb Radcliff |來源：企業網D1Net 2023-05-30 14:32:15 原創文章企業網D1Net

像大多數首席安全官一樣，Joe Sullivan被幫助防止網絡犯罪的職位所吸引。他在優步(Uber)公司擔任首席安全官的角色與之前作為助理檢察官起訴網絡犯罪分子的工作有所不同，但更接近于網絡安全的前沿。作為曾經的法律人士，他發現自己已經站在司法系統的對立面，這是出乎意料的結果，也頗具諷刺意味。

2023年5月4日，Sullivan由于沒有報告拼車和配送商優步(Uber) 公司2016年的數據泄露事件被判妨礙司法公正和隱瞞罪，被判處三年緩刑。在此次數據泄露事件中，網絡攻擊者威脅要泄露60萬名優步司機的數據和5700萬名乘客的個人信息。在接受行業媒體的采訪時，Sullivan表示，他更關心的不是自己的命運，而是整個事件可能會導致其他的首席信息安全官更關心保護自己免受法律起訴，而不是保護他們所在的企業。

Sullivan說，“如果這個案件的結果與檢察官的意圖相反，網絡安全領導人會更加關注自身的風險，而不是管理受害企業的風險，那么這將是一場悲劇。作為網絡安全領域，我們的目標應該是讓安全領導者在他們公司的領導下變得更有權力、更有資源、更受支持。”

Sullivan的判決引起了網絡安全專業人士的焦慮

Sullivan的案件在網絡安全專業人士中引起了很大的焦慮，他們擔心自己可能會因為自己的工作而面臨法律處罰，但它也激勵了該領域更加重視網絡安全。Sullivan對他收到的數百封支持信表示感謝，他說這些信幫助他度過了最困難的時期。他的律師將其中的186封信轉給了量刑法官William Orrick，Sullivan認為這是他沒有入獄的關鍵原因(盡管這些信件讓法官感到惱火，Orrick在宣判時表示，他在過去的案件中從未收到過這么多支持信件)。

這些信中提到了Sullivan作為堅定的網絡安全捍衛者的模范記錄，他以幫助eBay公司和Facebook公司在內的不斷發展的電子商務公司并建立其安全和隱私計劃而聞名。有信件還聲稱，Sullivan在這些公司開展的工作使許多詐騙犯入獄，還提到了他在社區服務和外聯活動中的優秀表現。

對首席安全官責任的恐懼和困惑

這些信件還揭示了人們對誰應對數據泄露事件負責這一不斷變化的問題的潛在恐懼和困惑。一些人表示，如果本案的目的是威懾(在違規報告中謹慎行事的動機)，那么網絡安全行業人士收到了這一信息。許多人解釋了首席安全官這一角色有多困難，違規反應有多動態，以及缺乏明確的違規報告指南。

以下內容摘自一封名為“證據19”的信件，收到的日期為2023年2月27日，并且有近50名網絡安全高管簽名：“法院判決將對我們的行業以及全球公司和消費者的安全產生負面影響，因為在這種工作需要的特殊情況下做出艱難的判斷，個人面臨風險太大。這起案件表明，如果我們在披露義務或其他困難決定方面聽從法官、首席執行官或其他官員的決策，我們可能會面臨刑事責任和民事責任，而這些決策在事后看來是不恰當的。

Sullivan的案件對網絡安全界產生了巨大影響，現在一直是行業研討會上高管團隊頻繁對話和小組討論的主題，也是改變政策和做法以避免披露錯誤的重要驅動力，即使這樣做的法律要求仍不明確。”

讓網絡安全管理人員害怕是糟糕的結果

這封信的簽署人之一是王晨曦，她是Rain Capital公司經驗豐富的網絡安全高管和管理合伙人，Rain Capital公司主要投資于網絡安全初創公司。她說：“這起案件給所有的首席信息安全官敲響了警鐘。因此，首席信息安全官已經在尋找更好的流程和控制，以應對和報告網絡攻擊事件，這就是他們想要做的事情，但人們不希望安全主管擔心自己的工作和責任。這是一個糟糕的結果。”

在量刑聽證會上的陳述中，檢察官Andrew Dawson對代表Sullivan寫信的首席信息安全官們毫不同情。他指著上面的信說:“這些信給人的印象是，Sullivan沒有犯罪。網絡安全是一個艱難的行業，首席信息安全官需要做出艱難的決定，也許這是一個善意的錯誤，但僅此而已。除非整個行業對妨礙司法感興趣，否則此案的教訓是……遵守法律，遵守規則，不要對正在進行的積極調查隱瞞信息。”

當沒有報告違規行為成為阻礙和誤解時，特別是當首席信息安全官面臨壓力，要求他們避免披露有關違規行為和違規響應的信息時，就會出現一個關鍵的混淆點，因為這些信息可能會為網絡攻擊者帶來更多漏洞。

美國聯邦貿易委員會消費者保護局局長Samuel Levine在判案法官的一封信中這樣寫道:“由于被告Sullivan的行為，美國聯邦貿易委員會的工作人員被迫在2017年重新開始對優步公司的數據安全措施進行調查，并就2014年優步公司發生的類似數據泄露事件重新談判當時尚未達成的協議。”

在這種情況下，首席安全官最終是否應該承擔責任?

另一個令人困惑的問題是：當文件記錄顯示Sullivan為響應團隊建立了一個事件跟蹤系統，并向當時的優步公司首席執行官Travis Kalanick和優步公司總法律顧問Craig Clark (他領導了優步公司對2016年事件的法律回應)通報并服從時，為什么首席安全官Sullivan要承擔責任并被指控掩蓋事實? Orrick聲稱此案是“史無前例”的，并根據判決記錄在法庭上指出了這一點。他說，“我現在仍然很困惑，優步公司首席執行官Travis Kalanick為Sullivan寫了一封信，而Kalanick并不在場。給我留下的印象是，他至少和Sulliva一樣有罪，卻沒有人把他告上法庭。”

5月17日發布的Law360法律評論也提出了這個問題，重點是Travis Kalanick和優步公司總法律顧問Craig Clark都沒有出庭，這是不尋常的情況，并指出Kalanick通過作證獲得了政府豁免權。

Sulliva說:“我想了很多。如果你從來沒有擔任過首席安全官，那么你會很自然地得出的結論是，應該受到指責的人就是擔任這個職位上的人。不過，首席安全官們并沒有控制住數據泄露的規模，而首席執行官可以做到。首席安全官可以提出建議，但他們不是最終的決定者。這不是大多數人的選擇，他們希望能繼續在自己的位置上有所作為。”

正是優步公司總法律顧問Clark建議不要報告這一漏洞，因為Sulliva的安全團隊能夠在數據泄露到暗網上之前檢索到數據。這就引出了另一個問題：如果黑客被抓獲，他們的系統中敏感數據在泄露到暗網之前被刪除，那么是否需要向監管機構報告?

違規報告準則仍不明確

法官承認，Sulliva通過誘騙兩名黑客簽署保密協議并利用保密協議跟蹤他們的IP地址，為遏制入侵和檢索被盜記錄所做的努力，并提供了后來被用來判定黑客共謀勒索罪的證據。但法官也表示，由于2016年沒有報告這一事件，對這些黑客的逮捕被推遲到2017年，當時優步公司的新領導層報告了這一違規行為。

每個關注此案的人都對Sulliva所做的決定是對還是錯有自己的看法。但正如這一案件細節所揭示的那樣，其答案并不是非黑即白。Sulliva曾擔任過助理地方檢察官，優步公司當時因過去的丑聞而受到詆毀，以及明顯缺乏聯邦政府對違規行為報告的指導，這些都對此案及其結果產生了一定影響。

Airbnb公司首席道德官Rob Chesnut說，“公平地說，對于首席信息安全官來說，沒有太多關于何時向誰披露什么信息的指導，而且美國每個州都有不同的法律。這可能是一個艱難的判斷，這讓首席信息安全官陷入困境，不容易知道該向誰披露什么，尤其是在優步這樣的公司。”他也是《有意的誠信：聰明的公司如何引領道德革命》一書的作者。

Chesnut從2015年到2016年在優步公司的安全顧問委員會工作了一年，他表示，他堅信應該由總法律顧問負責就是否報告違規行為做出法律決定。奇怪的是，優步公司的總法律顧問聲稱自己一無所知，盡管優步公司的一名律師參與其中，首席執行官對這一事件知情，而且該公司的很多工程團隊都在努力解決違規行為。

從優步公司數據泄露案中吸取的慘痛教訓

Chesnut建議首席信息安全官與企業的總法律顧問保持密切關系，并確保包括外部法律顧問在內的團隊努力做出此類決定。Sullivan在量刑聽證會上也這么陳述。他告訴法官，他應該通知總法律顧問Craig Clark，盡管Sullivan、首席執行官Travis Kalanick和總法律顧問Craig Clark在泄露事件發生時都在出差。Sulliva還承認，除了尋求優步公司的律師幫助之外，還應該尋求外部律師的幫助。Chesnut主張為這類案件聘請外部律師，同時建立一個記錄在案的命令鏈，然后在桌面演習中實踐可報告的違規場景。

當Chesnut在21世紀初擔任eBay公司安全高級副總裁時，他從美國司法部招募了Sulliva，讓他擔任自己團隊的高級主管。他回憶起Sulliva是如何親自參與抓捕和起訴那些試圖傷害eBay用戶的網絡犯罪分子，以及他是如何經常乘坐飛機去羅馬尼亞等地出差。后來，在Facebook公司工作期間，Sulliva在兒童保護方面的工作獲得了聲譽。

優步公司的文化可能在這一結果中發揮了作用

這個案例改變了什么? Chesnut推測，優步公司的秘密文化可能已經影響了Sulliva的決定。然而，他補充道:“認為Sulliva應該對此事負全部責任的想法是錯誤的。他顯然成了替罪羊，因為新上任的優步首席執行官正試圖挽回優步公司在公眾眼中的聲譽。”

優步公司總部位于加州舊金山，這里是消費者隱私法的發源地。加州的法律要求企業或州政府機構“通知任何未經授權的人獲取或合理認為已獲取未加密個人信息的加利福尼亞居民。”但法律并沒有說，如果企業設法在數據在暗網上傳播之前檢索到這些數據，企業就不必報告，而這是Clark使用的論點，Sulliva也接受了這一論點，因為他沒有向監管機構報告違規行為。

成為舉報人比被指控更容易?

根據加州法律，優步公司應該向相關機構報告;如果沒有，那么Sulliva應該報告。事實證明，舉報優步公司的違規行為要比在受到重罪指控并被定罪之后的結果要容易得多。

在被指控之后，Sulliva的工作和生活受到了嚴重的影響。他必須設法保護他的三個孩子的安全和隱私，因為他們在社交媒體上看到了有關Sulliva案例的消息。Sulliva現在不可能回到他熱愛的首席信息安全官的崗位上。他說，“我已經焦慮了很長時間。我在每個階段都低估了結果。最后，我在心理上做好了入獄的準備。現在是我弄清楚在緩刑期間該做什么的時候。”

Sulliva希望利用他的案件能夠為網絡安全領導人提供一個警醒，與立法者共同努力，澄清報告規則和責任，并最終起草一項數據泄露和報告法規。他還希望企業在董事會層面為首席信息安全官提供更多支持和培養，從而提高安全和領導層之間的透明度。

正如優步公司數據泄露事件所表明的那樣，當企業領導者的聲譽或人身自由受到威脅時，不要指望他們會公平行事。

關于企業網D1net(hfnxjk.com)：

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

關鍵字：安全數據泄露