Giám đốc an ninh trước đây của Uber, Joe Sullivan, đã bị tìm thấy có tội tuần này vì tích cực giấu giếm một vụ rò rỉ dữ liệu khỏi Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) và che đậy một tội ác. Vụ án này đã làm rộng lớn trong cộng đồng an ninh và công nghệ vì đây có vẻ như là lần đầu tiên một giám đốc cá nhân phải đối mặt với truy cứu trách nhiệm hình sự về các cáo buộc liên quan đến vụ rò rỉ dữ liệu của công ty mình. Mặc dù bản án của Sullivan có thể làm kinh ngạc đối với một số người, nhưng đo lường hậu quả đối với các giám đốc an ninh lại là một vấn đề không hề đơn giản.
Các giám đốc an ninh đôi khi được gọi mỉa mai là “giám đốc hy sinh chính mình” hoặc “giám đốc hi sinh chính mình”, bởi vì thách thức thực tế của việc bảo vệ các tổ chức lớn là quá lớn. Chẳng thể tránh khỏi việc các công ty sẽ trải qua các vụ hack và rò rỉ, và giám đốc an ninh phải đối mặt với hậu quả. Nhiều người bây giờ lo lắng rằng bản án của Sullivan sẽ làm cho vai trò khó khăn hơn đối với những tài năng hàng đầu. Nhưng Bộ Tư pháp Hoa Kỳ đang đặt vụ án này như một cơ hội để xây dựng hàng rào bảo vệ xem hành vi nào là chấp nhận được và hành vi nào không chấp nhận được trong sự cân nhắc căng thẳng của doanh nghiệp đối với vụ rò rỉ.
“Điều này chắc chắn sẽ tạo ra một tác động lạnh lẽo,” nói Anthony Vance, một giáo sư và nghiên cứu viên tại Đại học Virginia chuyên sâu về cách cá nhân và tổ chức có thể cải thiện thực hành an ninh mạng. “Hầu hết mọi người không rõ về sự tinh tế được liên quan ở đây, nhưng nói chung, nó thể hiện rằng ai đó có thể chịu trách nhiệm và bị kết án vì một vụ rò rỉ dữ liệu, điều chưa bao giờ xảy ra. Điều này hoàn toàn có thể xảy ra ngay cả khi đây là một trường hợp cực kỳ đặc biệt.”
“Đây là một trường hợp độc đáo vì có cuộc điều tra liên tục từ FTC,” nói Shawn Tuma, một đối tác trong công ty luật Spencer Fane chuyên về vấn đề an ninh mạng và quyền riêng tư dữ liệu. “Anh ấy vừa mới thực hiện lời khai tại tòa và nhất định phải bổ sung thêm và cung cấp thông tin liên quan cho FTC. Đó là cách nó hoạt động.”
Tuma, người thường xuyên làm việc với các công ty phản ứng trước các vụ vi phạm dữ liệu, cho biết cáo buộc nghiêm trọng hơn về tiền lệ tương lai là tội danh giữ thông báo về tội ác. Trong khi việc khởi tố có vẻ chủ yếu do Sullivan không thông báo cho FTC về vụ vi phạm năm 2016 trong quá trình điều tra của cơ quan, tội danh giữ thông báo có thể tạo ra quan điểm công cộng rằng trả tiền cho các tác nhân ransomware hoặc hacker cố gắng tống tiền để giữ cho dữ liệu bị đánh cắp không bao giờ hợp pháp hoặc chấp nhận được.
“Những tình huống này đều căng thẳng và CSOs đang phải chịu áp lực lớn,” Vance nói. “Những gì Sullivan làm dường như đã thành công trong việc ngăn chặn dữ liệu rò rỉ, vì vậy trong tâm trí họ, họ đã thành công trong việc bảo vệ dữ liệu người dùng. Nhưng cá nhân tôi có làm như vậy không? Tôi hy vọng là không.”
Sullivan nói với The New York Times trong một tuyên bố năm 2018, “Tôi đã ngạc nhiên và thất vọng khi những người muốn miêu tả Uber một cách tiêu cực nhanh chóng đề xuất rằng đây là một sự che đậy.”
Các sự kiện của vụ án có điều gì đó cụ thể ở chỗ Sullivan không chỉ dẫn dắt Uber trả tiền cho tội phạm. Kế hoạch của anh cũng liên quan đến việc trình bày giao dịch như một khoản thanh toán tiền thưởng cho lỗ hổng bảo mật và buộc các hacker - người đã thừa nhận thực hiện vụ vi phạm vào tháng 10 năm 2019 - ký một NDA. Trong khi FBI đã rõ ràng cho biết nó không chấp nhận việc trả tiền cho hacker, cơ quan chức năng của Hoa Kỳ nói chung đã gửi một thông điệp là điều quan trọng nhất là phải được thông báo và đưa vào quá trình phản ứng sau vụ vi phạm. Ngay cả Bộ Tài chính cũng nói rằng nó có thể linh hoạt và nhân từ hơn về việc thanh toán cho các tổ chức bị trừng phạt nếu nạn nhân thông báo cho chính phủ và hợp tác với cơ quan chức năng. Trong một số trường hợp, như với vụ tấn công ransomware vào đường ống dẫn dầu Colonial năm 2021, các quan chức làm việc với nạn nhân đã có thể truy vết thanh toán và cố gắng thu hồi tiền.
“Đây là điều khiến tôi lo lắng nhất, vì trả tiền cho một kẻ tấn công ransomware có thể được xem xét rộng rãi trong công chúng như là hành vi phạm tội, và sau đó có thể trở thành một tiêu chuẩn mặc định nếu nhìn chung,” Tuma nói. “Ngược lại, FBI mạnh mẽ khuyến khích mọi người báo cáo những sự cố này, và cá nhân tôi chưa bao giờ có trải nghiệm tiêu cực khi làm việc với họ. Có sự khác biệt giữa việc thanh toán cho những người xấu xa để mua sự hợp tác của họ và nói rằng, ‘Chúng ta sẽ cố gắng làm cho nó trông giống như một khoản thanh toán tiền thưởng và bắt bạn ký một NDA giả mạo.’ Nếu bạn có nghĩa vụ bổ sung cho FTC, bạn có thể cung cấp thông tin liên quan cho họ, tuân thủ luật thông báo vi phạm, và chấp nhận hậu quả của mình.”
Tuma và Vance đều chú ý, tuy nhiên, rằng tình hình ở Mỹ đối với xử lý tình huống tống tiền dữ liệu và hợp tác với cơ quan chức năng trong cuộc điều tra ransomware đã phát triển mạnh mẽ kể từ năm 2016. Đối với các nhà quản lý nhiệm vụ bảo vệ danh tiếng và khả năng sinh tồn của công ty họ - ngoài việc bảo vệ người dùng - các lựa chọn cho cách phản ứng vài năm trước đây đã phức tạp hơn nhiều so với hiện tại. Và điều này có thể chính là mục tiêu của nỗ lực của Bộ Tư pháp để truy cứu trách nhiệm Sullivan.
“Các công ty công nghệ ở Quận Bắc California thu thập và lưu trữ lượng lớn dữ liệu từ người dùng. Chúng tôi mong đợi những công ty đó bảo vệ dữ liệu đó và thông báo cho khách hàng và các cơ quan chức năng thích hợp khi dữ liệu như vậy bị hacker đánh cắp,” bà Stephanie Hinds, luật sư Hoa Kỳ, nói trong một tuyên bố về kết án vào thứ Tư. “Sullivan tích cực làm việc để che giấu vụ vi phạm dữ liệu khỏi Ủy ban Thương mại Liên bang và thực hiện các biện pháp để ngăn chặn hacker bị bắt. Khi hành vi như vậy vi phạm luật liên bang, nó sẽ bị truy cứu trách nhiệm hình sự.”
Sullivan has yet to be sentenced—another chapter in the saga that security executives will no doubt be watching extremely closely.