Joe Sullivan era uma estrela do rock no mundo da segurança da informação. Um dos primeiros promotores federais a trabalhar em casos de crimes cibernéticos no final dos anos 1990, ele entrou no mundo da segurança corporativa em 2002, assumindo cargos de destaque como chefe de segurança no Facebook e Uber.
Quando a comunidade de segurança fez sua peregrinação anual de verão a Las Vegas para duas conferências, Sullivan era uma figura facilmente reconhecível: alto com cabelos desgrenhados, usando tênis e capuz.
“Todo mundo o conhecia; Fiquei maravilhado, francamente”, disse Renee Guttmann, diretora de segurança da informação da Coca-Cola e da Campbell Soup. “Ele era um líder da indústria.”
Por isso, foi um choque para muitos na comunidade quando Sullivan foi demitido pela Uber em 2017, acusado de lidar incorretamente com um incidente de segurança no ano anterior. Apesar do escândalo, Sullivan conseguiu um novo emprego como chefe de segurança da Cloudflare, uma empresa de infraestrutura de internet.
Mas a investigação sobre o incidente na Uber continuou e, em 2020, a mesma promotoria onde Sullivan trabalhou décadas antes o acusou de dois crimes, no que se acredita ser a primeira vez que um executivo da empresa enfrenta uma possível responsabilidade criminal por uma suposta violação de dados. O Sr. Sullivan se declarou inocente das acusações.
Sr. Sullivan deixou seu emprego na Cloudflare em julho, em preparação para seu julgamento, que começa esta semana no Tribunal Distrital dos EUA em San Francisco. Outros chefes de segurança estão acompanhando o caso de perto, preocupados com o que isso significa para eles.
Os diretores de segurança da informação, ou CISOs, são responsáveis por garantir que os dados de suas empresas permaneçam protegidos contra hackers e fraudadores, um trabalho de alto risco que se tornou cada vez mais complicado.
Apenas no ano passado, T-Mobile, Planned Parenthood e o mercado NFT OpenSea foram invadidos. A segurança perfeita é impossível, e agora os CISOs estão se perguntando o que acontecerá se – ou melhor, quando – eles falharem. Se Sullivan for condenado, eles temem que o resultado possa abrir um precedente para quem é o culpado por uma violação de dados. Eles poderiam ficar segurando a bolsa?
Guttmann, que agora é consultora de empresas de capital de risco e start-ups, disse que o caso de Sullivan a fez pensar mais sobre o problema do ransomware, quando hackers criptografam os arquivos de uma empresa e exigem pagamento, geralmente em criptomoeda, para liberar eles. Uma pesquisa de 2021 indicou que muitas empresas pague o resgate.
“Daqui a seis anos, todos eles serão processados?” ela perguntou.
No mínimo, os executivos de segurança estão preocupados com possíveis problemas legais. Charles Blauner, um CISO aposentado e consultor de segurança cibernética, disse que os chefes de segurança têm um forte interesse no seguro de diretores e executivos, que cobre os custos legais de executivos que são processados como resultado de seu trabalho com uma empresa.
“Muitos diretores de segurança da informação estão indo até seus chefes e perguntando se eles têm D.&O. seguro e, se não, posso tê-lo?” disse Blauner. “Eles estão dizendo: ‘Se eu for responsabilizado por algo que nossa empresa faz, quero cobertura legal’”.
Após ser acusado, o Sr. Sullivan processado Uber para forçá-lo a pagar seus honorários legais no caso criminal, e eles chegaram a um acordo privado.
Alguns oficiais de segurança simpatizam com a forma como Sullivan lidou com o incidente de segurança no centro do caso criminal, enquanto outros dizem que foi claramente inapropriado. Em 2016, segundo uma queixa-crime, Sullivan descobriu que os hackers tinham acesso seguro aos dados pessoais de cerca de 600.000 motoristas do Uber e algumas informações pessoais associadas a 57 milhões de passageiros e motoristas. Os promotores acusam Sullivan de direcionar os responsáveis ao programa de recompensas por bugs da empresa, que a Uber, como muitas empresas, criou como um incentivo financeiro para terceiros relatarem suas vulnerabilidades de segurança.
O Uber finalmente pagou aos hackers, dois homens na faixa dos 20 anos, US$ 100.000 em Bitcoin e os fez assinar acordos de confidencialidade, de acordo com a queixa criminal. A Uber não divulgou o incidente ao público, nem informou a Federal Trade Commission, que estava investigando a empresa por suas práticas de privacidade e segurança.
Isto tornou-se público apenas em 2017, quando o novo executivo-chefe da Uber, Dara Khosrowshahi, demitiu Sullivan. As leis de violação de dados geralmente exigem que as empresas notifiquem os indivíduos quando seus dados pessoais forem expostos. Os dois homens responsáveis foram posteriormente identificados e se declararam culpados de hacking.
Um membro da equipe de segurança do Uber naquela época, que falou sob condição de anonimato, disse que não ficou surpreso quando soube da acusação de Sullivan, dada a cultura agressiva de fazer o que for preciso que ele experimentou no local. companhia. Ao mesmo tempo, disse ele, não era incomum direcionar pessoas que encontraram vulnerabilidades no programa de recompensas de bugs da empresa, para garantir que fossem recompensadas.
Os promotores acusaram Sullivan de obstruir a justiça e ocultar um crime por não divulgar a violação ou revelá-la à FTC. O porta-voz de Sullivan disse que não poderia discutir o caso devido ao julgamento próximo. A Uber não quis comentar.
Outro ex-membro da equipe de segurança do Uber, Michael Sierchio, que saiu nos meses anteriores ao incidente, disse que Sullivan foi “injustamente identificado”.
“Ele está sendo usado como bode expiatório”, disse Sierchio. “O governo acha que ele deveria saber melhor porque ele é um ex-promotor.”
Vários diretores de segurança que falaram com o The New York Times expressaram preocupação de que Sullivan fosse o único responsável pela Uber, já que um diretor de segurança geralmente não decide se uma empresa relata uma violação de dados. Isso, segundo eles, geralmente é decidido pelo departamento jurídico e pelo executivo-chefe, que na época era Travis Kalanick. A porta-voz de Kalanick disse que ele não tinha comentários.
Em uma audiência pré-julgamento, até mesmo o juiz pareceu impressionado com a extensão em que Sullivan estava sendo responsabilizado pelas ações do Uber.
“Eu não tinha, até este momento, percebido que seu caso era realmente contra o Uber e o Uber estará sentado aqui na forma de Sullivan”, disse o juiz William Orrick ao promotor Andrew Dawson.
A procuradoria dos EUA não comentou o caso. Na audiência, Dawson disse que o Uber tinha obrigações legais em relação à segurança e privacidade e que as evidências do estado mostrariam “o que Sullivan fez para minar essas obrigações”.
Steve Zalewski, ex-diretor de segurança da informação da Levi Strauss, descreveu o campo da segurança cibernética como ainda em evolução, tendo crescido ao lado da internet nos últimos 30 anos, e disse que ligações como a que Sullivan fez eram complicadas.
“Por ser relativamente jovem, não temos esse corpo de leis e conhecimento derivado ao longo do tempo para saber onde está a linha”, disse Zalewski. “Os bandidos estão nos atacando todos os dias. Estamos apenas tentando defender a empresa.”
Outros chefes de segurança são menos tolerantes. Jamil Farshchi, que se tornou diretor de segurança da informação da corretora de dados Equifax depois que uma enorme violação afetou mais de 140 milhões de pessoas, iniciou uma discussão animada sobre LinkedIn no mês passado, quando ele acusou os defensores de Sullivan de “tribalismo”.
“É muito fácil subestimar a responsabilidade em favor da simpatia quando você está lutando por sua tribo”, escreveu Farshchi, que se recusou a comentar este artigo. “O julgamento EUA x Sullivan começa em setembro, mas a lição principal aqui é aquela que quase todos os CISOs experimentaram em primeira mão: quando confrontados com uma decisão perde-perde, faça a coisa certa (ou pelo menos a legal).”
À medida que o julgamento de Sullivan se aproxima, outro ex-chefe de segurança de alto nível está no noticiário, mas por revelar o que ele disse serem problemas de segurança, em vez de escondê-los. Peiter Zatko, que foi demitido como chefe de segurança do Twitter em janeiro, Denunciantealegando que sua antiga empresa havia ocultado vulnerabilidades de segurança dos reguladores.
“Sinceramente, o peso do mundo está em nossos ombros”, disse Jason Manar, diretor de segurança da informação da empresa de software Kaseya. “Eu definitivamente tenho menos fios de cabelo do que costumava ter.”
No ano passado, a Kaseya foi atingida por um ataque cibernético de um grupo de criminosos cibernéticos com sede na Rússia chamado REvil, que comprometeu até 1.500 empresas que usam os serviços de software da Kaseya. O Sr. Manar foi um dos agentes do FBI que investigaram o ataque; mais tarde, ele assumiu um emprego de segurança na empresa, no final de 2021.
Ele disse que a diferença entre o incidente da Kaseya e o da Uber foi que a Kaseya divulgou rapidamente o hack e trabalhou com policiais, o que lhe deu a confiança de que a empresa o protegeria se algo desse errado novamente. O caso do Sr. Sullivan, ele esperava, acabaria sendo uma anomalia.
Ainda assim, ele reconheceu, há riscos em ser a pessoa encarregada de responder a ameaças colossais.
“As apostas são altas para cada CISO por aí”, disse ele. “Só acho que se trata de uma responsabilidade ética e moral, bem como uma responsabilidade legal, apenas fazer o que é certo.”
A Sra. Guttmann, ex-CISO da Coca-Cola e Campbell, disse que participou recentemente da conferência de segurança cibernética Black Hat em Las Vegas. O julgamento estava na mente dos participantes e, embora as pessoas com quem ela falou geralmente apoiassem Sullivan, ela disse, sua situação era desanimadora.
“As pessoas lá que eram seniores em seu trabalho, logo abaixo do CISO, disseram que não aceitariam o cargo do CISO por nada”, disse ela. “O estresse, a responsabilidade. As pessoas não acham mais que isso pode ser um trabalho de longo prazo em uma empresa.”
Discussão sobre isso post