Asegurar la recompensa: la recompensa por errores juega un papel central en la apelación penal del CISO de Uber


Los tecnólogos, abogados, hackers e inversores deberían preocuparse por la ciberseguridad a medida que se acerquen los argumentos de apelación en el histórico caso penal del ex director de seguridad de la información (CISO) de Uber este verano. En 2016, Uber sufrió una filtración masiva de datos que afectó a 50 millones de clientes y más de 500.000 conductores. En la primera acusación penal contra un director de seguridad de la información, el ex director de seguridad de la información de Uber, Joseph Sullivan, ocultó sus negociaciones con los piratas informáticos y trató de encubrir la infracción bajo la apariencia de un programa de recompensas por errores. Fue declarado culpable de dos delitos graves. Un juez del Distrito del Norte de California condenó a Sullivan a tres años de libertad condicional y le impuso una multa de 50.000 dólares. Los profesionales de seguridad habían sido advertidos. Se estaban considerando formalmente sanciones penales por el manejo inadecuado de las filtraciones de datos y el abuso de los programas de recompensas por errores.

Los gigantes tecnológicos y las pequeñas empresas emergentes han valorado los programas de recompensas por errores como una herramienta de ciberseguridad durante años. El programa recompensa a los piratas informáticos éticos que ayudan a las organizaciones a identificar debilidades de ciberseguridad al descubrir errores de seguridad en el software y revelar estas vulnerabilidades de seguridad a las organizaciones para que puedan corregirse. Proporciona una recompensa gratificante. Algunas organizaciones ejecutan sus propios programas de recompensas por errores, mientras que otras subcontratan a proveedores de servicios que ofrecen programas administrados de recompensas por errores. Aunque los detalles varían, está claro que esta investigación de seguridad incentivada es dinámica, importante y exitosa. Google identificó y solucionó 2900 problemas de seguridad en 2022 gracias a investigadores de seguridad relacionados con las recompensas de errores. Apple ofrece hasta 2 millones de dólares por descubrir vulnerabilidades críticas en su programa de recompensas de seguridad. Meta también pagó recompensas a investigadores de más de 45 países en 2022.

Existen reglas básicas para un programa de recompensas por errores eficaz. Estas reglas definen el alcance del programa, qué sistemas y servicios los participantes pueden probar, qué sistemas y servicios tienen prohibido probar y qué métodos de prueba pueden usar y qué pruebas no deben usar. el método. Las reglas también definen el rango de participantes. Algunos programas son públicos, abiertos a la comunidad global de hackers e investigadores de seguridad, mientras que otros son privados, y solo se invita a participar a personas específicas (en el caso de la Universidad de Stanford, estudiantes, investigadores postdoctorales o empleados de tiempo completo (en el caso de de Walmart, no un empleado). Una característica clave del programa de recompensas por errores es que los participantes aceptan no acceder, modificar, eliminar, divulgar o almacenar ninguna información de identificación personal u otros datos que identifiquen en sus pruebas, y que los participantes aceptan no acceder, modificar, eliminar, divulgar. , o almacenar cualquier información de identificación personal u otros datos que identifiquen en sus pruebas, y que pueden requerir notificar y eliminar datos. A cambio de seguir las reglas del programa, la organización proporciona a los participantes un puerto seguro para evitar que los piratas informáticos violen accidentalmente las reglas del programa de recompensas por errores, los Términos de uso y la Política de uso aceptable de la organización, y leyes como la Ley de abuso y fraude informático. Si lo hace, a menudo aceptamos no emprender acciones legales.

Algunos programas requieren que el hacker no esté en una lista de sanciones del gobierno de EE. UU. ni se encuentre en un país en una lista de sanciones del gobierno de EE. UU. para ser elegible para una recompensa. Además, si un pirata informático amenaza con ocultar información sobre una vulnerabilidad o publicar datos exfiltrados, una organización puede negarse a pagar una recompensa, convirtiendo efectivamente una solicitud de recompensa en una demanda de pago de rescate.

Aún así, el 93% de las empresas Forbes Global 2000 no tienen una política de divulgación de vulnerabilidades y Cómo enviar un descubrimiento de falla sin temor a acciones legales (TL;DR: Informe a Amazon que ha descubierto un error sin ser demandado) Detalles de También faltan métodos. Las mejores prácticas para los programas de recompensas por errores deberían incluir un sistema de gobernanza. El sistema de gobernanza incluye la asignación de roles y responsabilidades para cada aspecto del programa, la definición clara de una cadena de informes para informar las vulnerabilidades identificadas por los participantes del programa, una jerarquía para la autorización del pago de recompensas y garantizar que los pagos bajo el programa de recompensas por errores sean revisados ​​por el programa. departamento legal para garantizar que los pagos no violen las restricciones de sanciones de la Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. y los pasos a seguir si un pirata informático malintencionado viola intencionalmente las reglas del programa y una política de comunicaciones internas para mantener a los niveles C y a la junta informados sobre lo relevante. desarrollos.

Es importante destacar que los programas de recompensas por errores están destinados a proteger a la empresa, no la reputación del responsable de seguridad (este es un punto controvertido abordado específicamente en la apelación de Sullivan (esta es una preocupación clave que a todos los involucrados en el ecosistema de recompensas por errores les gustaría que se aclare). verano). Caminar por esa delgada línea puede abarcar desde abogados que redactan requisitos para programas de recompensas por errores hasta ejecutivos que intentan cumplir con los requisitos de capacitación en ciberseguridad y líneas directas de informes anónimos establecidas por los empleadores en caso de un ataque de ransomware. Es complicado para todos los involucrados, hasta la nueva seguridad. El oficial se pregunta si debe llamar a la línea. El consenso no es de ninguna manera claro, y la próxima conclusión de la demanda por violación de datos de Uber debería ayudar a aclarar cualquier confusión. Debería escuchar los argumentos de apelación programados para este verano en el Tribunal de Apelaciones del Noveno Circuito.

Leeza Garber se especializa en ciberseguridad y derecho de privacidad y enseña derecho de privacidad de la información en la Facultad de Derecho Thomas R. Klein de la Universidad de Drexel y derecho de Internet, privacidad y ciberseguridad en Wharton School. Es propietaria de una empresa de consultoría que ofrece cursos de educación ejecutiva y discursos de apertura, y su libro “Can. Trust. Will.: Hiring for the Human Element in the New Age of Cybersecurity” (enlace de afiliado) está publicado por Business Expert Published by Press.

Gail Gotterer es vicepresidenta de litigios globales, trabajo y empleo, TI y relaciones gubernamentales de Del Monte Fresh Produce y miembro del equipo de respuesta a incidentes globales, el comité de divulgación, el comité directivo de ESG y el comité de investigaciones globales de la empresa. Es un experto en ciberseguridad, privacidad de datos y derecho de tecnologías emergentes, y es uno de los pocos abogados que ha participado en demandas colectivas desde el juicio hasta el veredicto del jurado.



Fuente: https://abovethelaw.com/2024/05/securing-the-bounty-bug-bounties-take-center-stage-in-uber-cisos-criminal-appeal/