Joe Sullivan asistió a su audiencia de sentencia el 4 de mayo de este año, preparado para ir a prisión a menos que el juez apruebe la recomendación de libertad condicional de la junta de libertad condicional. Hace meses, un jurado federal declaró culpable al ex director de información de Uber de dos cargos de fraude por no notificar a los reguladores sobre una violación de la ciberseguridad de 2016, pero Sullivan permanece en la cárcel y se salvó de ingresar.
En cambio, el juez William Orrick del Tribunal de Distrito de los Estados Unidos para el Distrito del Norte de California condenó al Sr. Sullivan a tres años de libertad condicional, 200 horas de servicio comunitario y una multa de 50.000 dólares. Los fiscales buscan 15 meses de prisión por acusaciones de la Comisión Federal de Comercio (FTC) de que Sullivan no informó sobre una violación de datos que afectó a más de 50 millones de registros de clientes y conductores de Uber.
“Fui a la audiencia de sentencia preparado para ir a prisión en el área carcelaria específica que queríamos”, dijo Sullivan a Dark Reading. “Tuve que mirar diferentes instalaciones federales y determinar qué instalación podría visitar mi familia más y dónde me sentiría más seguro. Y luego tuve que decidir quién iba a cuidar a los niños, quién iba a pagar el Las facturas en casa también tenía que pensar en cómo iba a pagarlas y gestionar todo lo demás”.
Joe Sullivan después de la violación de Uber
Ahora que el caso se ha resuelto, Sullivan es libre de hablar y compartirá su historia en un discurso de apertura en Black Hat Europe 2023 el 7 de diciembre. Sullivan dijo que no fue fácil permanecer en silencio durante más de seis años. “Los abogados no me dejaron decir una palabra”, se lamenta Sullivan.
“Si alguien etiqueta lo que estás haciendo como un encubrimiento, es muy fácil para la gente creer esa idea”, dice. “Durante seis años tuve que ver y escuchar mi nombre en los medios y cosas que sabía que no eran ciertas me tuvieron que preguntar qué veía en mi padre”.
Sullivan dice que la sentencia mínima prueba su inocencia. “El juez dijo que hicimos un gran trabajo en la investigación”, dijo. “Seguimos los procedimientos. Lo que la gente no entiende es que la empresa tenía D&O”. [directors and officers] Contrato de seguro. La política de respuesta a la violación de datos especificaba un abogado específico al que contactar. El equipo llamó a su abogado y también a su publicista. Me comuniqué con el director ejecutivo y le di una actualización. “
La transparencia es la lección más importante
Sullivan dijo que el mayor error que cometió fue no contratar investigadores y abogados externos para revisar cómo su equipo manejó la infracción. “Lo que no hicimos fue insistir en traer a un tercero para verificar cada decisión que tomábamos”, dijo. “Odio decirlo, pero es más una responsabilidad personal”.
Actualmente, el Sr. Sullivan asesora a otros CISO y empresas sobre el cumplimiento de sus responsabilidades en materia de divulgación de infracciones, en particular a medida que entran en vigor los nuevos requisitos de notificación de incidentes de la Comisión de Bolsa y Valores (SEC). Sullivan dio la bienvenida a las nuevas regulaciones. “Creo que cualquier cosa que promueva una mayor transparencia es algo bueno”, afirma. Señaló que mientras trabajaba en la Comisión Nacional de Ciberseguridad del ex presidente Barack Obama, Sullivan abogó por la inmunidad si las empresas eran transparentes desde el principio en caso de un incidente de seguridad.
Sullivan dijo que eso no ha sucedido hasta ahora y que aún no se ha tomado ninguna decisión sobre nuevas regulaciones que requerirían acción a partir de diciembre.
“Hoy en día, muchas empresas piensan que no les conviene ser transparentes”, afirmó Sullivan. “Creo que la SEC está tratando de cambiar los incentivos con palos en lugar de zanahorias. Pero esa es la herramienta que tienen, y es mejor que nada”.
SolarWinds recibe mensajes contradictorios de la SEC
Mientras tanto, la SEC ha adoptado una postura de tolerancia cero en lo que respecta al mal manejo de Databeach, y el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York emitió una declaración sobre un ataque a la cadena de suministro de software en la plataforma Orion de la compañía en octubre de 2020. En el tribunal, SolarWinds y su CISO Tim Brown fueron acusados de fraude.
Pero Sullivan dijo que la decisión de la SEC de acusar a SolarWinds y Brown es inconsistente con la postura de la agencia sobre la implementación de nuevas reglas de divulgación hace apenas unos meses.
“Por un lado, se han comprometido con la comunidad y han establecido nuevas expectativas, lo cual creo que es fantástico, porque están tratando de establecer las reglas del camino y están recibiendo comentarios del público”, dijo Sullivan. . “Pero si nos fijamos en las acciones de cumplimiento de SolarWinds y Tim Brown, vemos un enfoque muy diferente. No es muy cooperativo. Muchos comentaristas están preocupados porque el trabajo de seguridad dentro de una empresa es en realidad un enfoque muy diferente. Señalan que es posible que no comprendan completamente que este es el caso.
Sullivan dijo que es demasiado pronto para predecir cómo se desarrollará el caso porque sólo las partes saben qué pruebas se presentarán. Pero ve paralelos con su propia situación en las acusaciones de la SEC.
“El gobierno, en mi caso la FTC, consideró que mi empresa no estaba siendo lo suficientemente transparente y trató de responsabilizarme personalmente por eso. Mi trabajo es ser el comunicador de nuestra postura de seguridad, pero ni siquiera se trataba de responder. sus preguntas”, dijo Sullivan. “De hecho, no había visto gran parte del documento, por lo que su caso fue que yo era personalmente responsable del enfoque de la empresa en materia de comunicaciones. El caso de Tim Brown también fue completamente el mismo”.
Fuente: https://www.darkreading.com/cyberattacks-data-breaches/6-years-of-silence-former-uber-ciso-speaks-out-on-data-breach-solarwinds
