'CISO's bezorgd over impact Uber-zaak op aansprakelijkheid voor security'

Security-experts maken zich zorgen over de rechtszaak die het Amerikaanse ministerie van Justitie nu voert tegen de voormalige securitytopman van Uber. Dat taxibedrijf is jaren terug twee keer gehackt (in 2014 en 2016), maar heeft de tweede hack onder toenmalig management nogal creatief afgehandeld. De diefstal van data bij Uber is namelijk én stilgehouden én afgekocht waarbij het bug bounty-programma van het bedrijf is misbruikt om losgeld te betalen.

Jasper BakkerredacteurMeer van deze auteur

Vrouwe Justitia — © CC0 Pixabay

CC0 Pixabay

Ondanks deze misstanden zou er juridisch gezien niet echt iets fout zijn gedaan door voormalig Uber-CSO (chief security officer) Joe Sullivan. Tenminste, dat stellen security-experts tegenover The Wall Street Journal en The New York Times. De huidige vervolging van Sullivan en een eventuele veroordeling zouden flinke gevolgen kunnen hebben voor CISO's en hoe er wordt omgegaan met hackaanvallen.

Rechtszaak is risico voor securityveld?

Zo stelt voormalig AT&T-securitytopman Edward Amoroso dat Sullivan helemaal niets verkeerd heeft gedaan. De CEO van security-onderzoeksbedrijf TAG Cyber waarschuwt dat het criminaliseren van beslissingen zoals Sullivan heeft genomen het hele beroepsveld van cybersecurity kan hinderen. Amoroso pleit ervoor dat de securitygemeenschap en niet een gerechtelijk hof er moet uitkomen wie verantwoordelijk is. Daarbij speelt ook de kwestie van persoonlijke versus bedrijfsaansprakelijkheid.

Het Amerikaanse ministerie van Justitie deelt de inschatting niet dat Sullivan juridisch in het reine zat. Hij wordt aangeklaagd voor twee strafbare feiten, waarbij het dus gaat om strafrechtelijke aansprakelijkheid. Justitie verklaart dat de zaak draait om het verbergen van deze security-inbreuk (die gemeld had moeten worden aan toezichthouder FTC), om stiekeme afbetaling (van de afpersers die in hun eigen rechtszaken inmiddels schuld hebben bekend) en om leugens.

Inbraak versus securitymelding

Sullivan pleit niet schuldig te zijn en stelt in zijn verdediging dat hij niet verantwoordelijk is voor het stilzwijgen naar de FTC (Federal Trade Commission). Toenmalig CEO Travis Kalanick zou op de hoogte zijn geweest en hebben besloten om de hack geheim te houden plus om de afpersers te betalen. Het securityteam bij Uber heeft in 2016 bij de verborgen gehouden hack besloten om de afpersingseis van de hackers te behandelen als een voorbeeld van security-onderzoekers die een kwetsbaarheid melden. Tegen betaling van 100.000 dollar zouden de datadieven de door hun gestolen 57 miljoen records dan wissen.

Sullivan was vóór zijn tijd bij Uber securitytopman bij Facebook. Na zijn ontslag in 2017 bij Uber door de nieuwe CEO is hij overgestapt naar Cloudflare. Daar heeft hij in juli zijn werk neergelegd, in aanloop naar de rechtszaak die nu is begonnen.