تكتشف القضية الإلكترونية الملتوية أن رئيس أمن أوبر السابق مذنب بتهمة التستر على خرق البيانات
قد تشكل إدانة جوزيف سوليفان، كبير مسؤولي الأمن في أوبر، إعادة تقييم مروعة لكيفية تعامل كبار مسؤولي أمن المعلومات (CISOs) والمجتمع الأمني مع انتهاكات الشبكة في المستقبل.
أدانت هيئة محلفين اتحادية في سان فرانسيسكو في الخامس من أكتوبر / تشرين الأول سوليفان بالفشل في إخبار السلطات الأمريكية باختراق عام 2016 لقواعد بيانات أوبر. ولم يحدد القاضي وليام هـ.أوريك موعدًا لإصدار الحكم.
قال محامي سوليفان، ديفيد أنجيلي ، بعد إعلان الحكم أن موكله ينصب تركيزه الوحيد على ضمان سلامة البيانات الرقمية الشخصية للأشخاص.
لاحظ المدعون الفيدراليون أن القضية يجب أن تكون بمثابة تحذير للشركات حول كيفية امتثالها للوائح الفيدرالية عند التعامل مع انتهاكات الشبكة الخاصة بهم.
اتهم المسؤولون سوليفان بالعمل على إخفاء خرق البيانات عن المنظمين الأمريكيين ولجنة التجارة الفيدرالية، مضيفين أن أفعاله حاولت منع المتسللين من القبض عليهم.
في ذلك الوقت، كانت لجنة التجارة الفيدرالية (FTC) تحقق بالفعل في أوبر بعد اختراق عام 2014. شمل الاختراق المتكرر لشبكة Uber بعد ذلك بعامين المتسللين الذين أرسلوا بريدًا إلكترونيًا إلى سوليفان حول سرقة كمية كبيرة من البيانات. وفقًا لوزارة العدل الأمريكية، فقد وعدوا بحذف البيانات إذا دفعت أوبر فدية.
الإدانة هي سابقة مهمة أرسلت بالفعل موجات صدمة عبر مجتمع CISO. وأشار كيسي إليس ، مؤسس ومدير التكنولوجيا في Bugcrowd ، وهو عبارة عن منصة للأمن السيبراني جماعي، إنه يسلط الضوء على المسؤولية الشخصية التي ينطوي عليها كونك رئيس أمن المعلومات في بيئة سياسية ديناميكية وقانونية ومهاجم.
“يتطلب الأمر سياسة أوضح على المستوى الفيدرالي في الولايات المتحدة حول حماية الخصوصية ومعالجة بيانات المستخدم، ويؤكد على حقيقة أن النهج الاستباقي للتعامل مع معلومات الثغرات الأمنية، بدلاً من النهج التفاعلي المتبع هنا، هو مكون رئيسي من المرونة للمنظمات وفرق الأمن ومساهميها، “قال لموقع TechNewsWorld.
تفاصيل مزعجة
هناك اتجاه متزايد للشركات التي تقع ضحية لبرامج الفدية للتفاوض مع المتسللين. لكن خطاب المحاكمة أظهر أن المدعين العامين يذكّرون الشركات بـ “فعل الصواب” ، بحسب روايات إعلامية.
وفقًا للحسابات التجريبية المنشورة، أكد موظفو سوليفان سرقة البيانات المكثفة. وتضمنت 57 مليونًا من السجلات المسروقة لمستخدمي أوبر و 600 ألف رقم رخصة القيادة.
ذكرت وزارة العدل أن سوليفان سعى للحصول على اتفاقية المتسللين لدفع 100000 دولار أمريكي من عملة البيتكوين. تضمنت تلك الاتفاقية قراصنة يوقعون اتفاقية عدم إفشاء لمنع الاختراق من معرفة الجمهور. يُزعم أن أوبر أخفت الطبيعة الحقيقية للدفع باعتبارها مكافأة خطأ.
كان بإمكان هيئة المحلفين فقط الوصول إلى دليل القضية، لذا فإن تقديم تفاصيل محددة عن المسألة يأتي بنتائج عكسية، كما قال ريك هولاند، كبير مسؤولي أمن المعلومات ونائب رئيس الإستراتيجية في شركة Digital Shadows ، وهي مزود لحلول إدارة المخاطر الرقمية.
هناك بعض الاستنتاجات العامة التي يمكن استخلاصها. قال هولاند لموقع TechNewsWorld: “إنني قلق من العواقب غير المقصودة لهذه القضية”. “لدى CISOs بالفعل وظيفة صعبة، وتزيد نتيجة القضية من المخاطر على CISO كبش فداء.”
أسئلة حرجة لم تتم الإجابة عليها
تشمل مخاوف هولندا كيف يمكن أن تؤثر نتيجة هذه التجربة على عدد القادة المستعدين لتحمل المسؤولية الشخصية المحتملة لدور CISO. كما أنه قلق بشأن طرد المزيد من حالات المبلغين عن المخالفات مثل تلك التي نشأت من تويتر.
ويتوقع أن يتفاوض المزيد من CISOs مع تأمين المديرين والموظفين في عقود عملهم. وأوضح أن هذا النوع من السياسة يوفر تغطية للمسؤولية الشخصية للقرارات والإجراءات التي قد يتخذها CISO.
“بالإضافة إلى ذلك، وبنفس الطريقة التي أصبح بها كل من الرئيس التنفيذي والمدير المالي مسئولين عن الفساد في أعقاب فضيحة ساربينز أوكسلي وفضيحة إنرون ، لا ينبغي أن يكون مدراء أمن المعلومات هم المسؤولون الوحيدون في حالة ارتكاب مخالفات تتعلق بالتدخلات والانتهاكات”، كما اقترح.
قانون Sarbanes-Oxley لعام 2002 هو قانون اتحادي أنشأ أنظمة تدقيق شاملة ولوائح مالية للشركات العامة. أدت فضيحة إنرون ، وهي سلسلة من الأحداث التي تنطوي على ممارسات محاسبية مشكوك فيها، إلى إفلاس شركة إنرون للطاقة والسلع والخدمات، وحل شركة المحاسبة آرثر أندرسن.
وقال: “يجب على CISOs إبلاغ المخاطر بشكل فعال إلى فريق قيادة الشركة ولكن لا ينبغي أن يكونوا وحدهم المسؤولين عن مخاطر الأمن السيبراني”.
الظروف الملتوية
إن إدانة سوليفان هي انعكاس مثير للسخرية من نوع ما. في وقت سابق من حياته المهنية في مجال المحاماة، رفع قضايا الجرائم الإلكترونية إلى مكتب المدعي العام للولايات المتحدة في سان فرانسيسكو.
توقفت قضية وزارة العدل ضد سوليفان على إعاقة العدالة والعمل لإخفاء جناية عن السلطات. يمكن أن يكون للإدانة الناتجة تأثير طويل المدى على كيفية تعامل المؤسسات والمديرين التنفيذيين الأفراد مع الاستجابة للحوادث الإلكترونية، لا سيما عندما تنطوي على ابتزاز.
جادل المدعون بأن سوليفان أخفى بنشاط خرقًا هائلاً للبيانات. وافقت هيئة المحلفين بالإجماع على التهمة بما لا يدع مجالاً للشك.
وبدلاً من الإبلاغ عن الانتهاك، وجدت هيئة المحلفين أن سوليفان، مدعومًا بمعرفة وموافقة الرئيس التنفيذي لشركة أوبر آنذاك، دفع للقراصنة وجعلهم يوقعون على اتفاقية عدم إفشاء ادعت كذباً أنهم لم يسرقوا البيانات من أوبر.
أبلغ الرئيس التنفيذي الجديد الذي انضم لاحقًا إلى الشركة لجنة التجارة الفيدرالية بالحادثة. شهد مديرو أوبر الحاليون والسابقون والمحامون وغيرهم لصالح الحكومة.
قال إدوارد مكاندرو ، المحامي في BakerHostetler والمدعي العام السابق للجرائم الإلكترونية في وزارة العدل والمتخصص في الأمن القومي عبر الإنترنت، لـ TechNewsWorld أن “محاكمة سوليفان وإدانته الآن رائدة، لكن يجب فهمها في سياقها الواقعي والقانوني المناسب”.
وأشار إلى أن الحكومة تبنت مؤخرًا سياسة أكثر عدوانية تجاه الأمن السيبراني. يؤثر هذا على امتثال أصحاب الياقات البيضاء، حيث يتم إلقاء المنظمات والمديرين التنفيذيين بشكل متزايد في الأدوار المتزامنة والمتباينة لضحية الجريمة وهدف الإنفاذ.
“تحتاج المنظمات إلى فهم كيف يمكن لأفعال الموظفين الأفراد أن تعرضهم والآخرين لعملية العدالة الجنائية. ويتعين على المتخصصين في أمن المعلومات فهم كيفية تجنب تحمل المسئولية الشخصية عن الإجراءات التي يتخذونها ردًا على الهجمات الإلكترونية الإجرامية “، حذر مكاندرو.
المصدر: technewsworld
شاهد ايضا:
