亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

像大多數(shù)首席安全官一樣，Joe Sullivan被幫助防止網(wǎng)絡(luò)犯罪的職位所吸引。他在優(yōu)步(Uber)公司擔(dān)任首席安全官的角色與之前作為助理檢察官起訴網(wǎng)絡(luò)犯罪分子的工作有所不同，但更接近于網(wǎng)絡(luò)安全的前沿。作為曾經(jīng)的法律人士，他發(fā)現(xiàn)自己已經(jīng)站在司法系統(tǒng)的對(duì)立面，這是出乎意料的結(jié)果，也頗具諷刺意味。

2023年5月4日，Sullivan由于沒有報(bào)告拼車和配送商優(yōu)步(Uber) 公司2016年的數(shù)據(jù)泄露事件被判妨礙司法公正和隱瞞罪，被判處三年緩刑。在此次數(shù)據(jù)泄露事件中，網(wǎng)絡(luò)攻擊者威脅要泄露60萬名優(yōu)步司機(jī)的數(shù)據(jù)和5700萬名乘客的個(gè)人信息。在接受行業(yè)媒體的采訪時(shí)，Sullivan表示，他更關(guān)心的不是自己的命運(yùn)，而是整個(gè)事件可能會(huì)導(dǎo)致其他的首席信息安全官更關(guān)心保護(hù)自己免受法律起訴，而不是保護(hù)他們所在的企業(yè)。

Sullivan說，“如果這個(gè)案件的結(jié)果與檢察官的意圖相反，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人會(huì)更加關(guān)注自身的風(fēng)險(xiǎn)，而不是管理受害企業(yè)的風(fēng)險(xiǎn)，那么這將是一場(chǎng)悲劇。作為網(wǎng)絡(luò)安全領(lǐng)域，我們的目標(biāo)應(yīng)該是讓安全領(lǐng)導(dǎo)者在他們公司的領(lǐng)導(dǎo)下變得更有權(quán)力、更有資源、更受支持?！?/p>

(資料圖片僅供參考)

Sullivan的判決引起了網(wǎng)絡(luò)安全專業(yè)人士的焦慮

Sullivan的案件在網(wǎng)絡(luò)安全專業(yè)人士中引起了很大的焦慮，他們擔(dān)心自己可能會(huì)因?yàn)樽约旱墓ぷ鞫媾R法律處罰，但它也激勵(lì)了該領(lǐng)域更加重視網(wǎng)絡(luò)安全。Sullivan對(duì)他收到的數(shù)百封支持信表示感謝，他說這些信幫助他度過了最困難的時(shí)期。他的律師將其中的186封信轉(zhuǎn)給了量刑法官William Orrick，Sullivan認(rèn)為這是他沒有入獄的關(guān)鍵原因(盡管這些信件讓法官感到惱火，Orrick在宣判時(shí)表示，他在過去的案件中從未收到過這么多支持信件)。

這些信中提到了Sullivan作為堅(jiān)定的網(wǎng)絡(luò)安全捍衛(wèi)者的模范記錄，他以幫助eBay公司和Facebook公司在內(nèi)的不斷發(fā)展的電子商務(wù)公司并建立其安全和隱私計(jì)劃而聞名。有信件還聲稱，Sullivan在這些公司開展的工作使許多詐騙犯入獄，還提到了他在社區(qū)服務(wù)和外聯(lián)活動(dòng)中的優(yōu)秀表現(xiàn)。

對(duì)首席安全官責(zé)任的恐懼和困惑

這些信件還揭示了人們對(duì)誰應(yīng)對(duì)數(shù)據(jù)泄露事件負(fù)責(zé)這一不斷變化的問題的潛在恐懼和困惑。一些人表示，如果本案的目的是威懾(在違規(guī)報(bào)告中謹(jǐn)慎行事的動(dòng)機(jī))，那么網(wǎng)絡(luò)安全行業(yè)人士收到了這一信息。許多人解釋了首席安全官這一角色有多困難，違規(guī)反應(yīng)有多動(dòng)態(tài)，以及缺乏明確的違規(guī)報(bào)告指南。

以下內(nèi)容摘自一封名為“證據(jù)19”的信件，收到的日期為2023年2月27日，并且有近50名網(wǎng)絡(luò)安全高管簽名：“法院判決將對(duì)我們的行業(yè)以及全球公司和消費(fèi)者的安全產(chǎn)生負(fù)面影響，因?yàn)樵谶@種工作需要的特殊情況下做出艱難的判斷，個(gè)人面臨風(fēng)險(xiǎn)太大。這起案件表明，如果我們?cè)谂读x務(wù)或其他困難決定方面聽從法官、首席執(zhí)行官或其他官員的決策，我們可能會(huì)面臨刑事責(zé)任和民事責(zé)任，而這些決策在事后看來是不恰當(dāng)?shù)摹?/p>

Sullivan的案件對(duì)網(wǎng)絡(luò)安全界產(chǎn)生了巨大影響，現(xiàn)在一直是行業(yè)研討會(huì)上高管團(tuán)隊(duì)頻繁對(duì)話和小組討論的主題，也是改變政策和做法以避免披露錯(cuò)誤的重要驅(qū)動(dòng)力，即使這樣做的法律要求仍不明確。”

讓網(wǎng)絡(luò)安全管理人員害怕是糟糕的結(jié)果

這封信的簽署人之一是王晨曦，她是Rain Capital公司經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全高管和管理合伙人，Rain Capital公司主要投資于網(wǎng)絡(luò)安全初創(chuàng)公司。她說：“這起案件給所有的首席信息安全官敲響了警鐘。因此，首席信息安全官已經(jīng)在尋找更好的流程和控制，以應(yīng)對(duì)和報(bào)告網(wǎng)絡(luò)攻擊事件，這就是他們想要做的事情，但人們不希望安全主管擔(dān)心自己的工作和責(zé)任。這是一個(gè)糟糕的結(jié)果?！?/p>

在量刑聽證會(huì)上的陳述中，檢察官Andrew Dawson對(duì)代表Sullivan寫信的首席信息安全官們毫不同情。他指著上面的信說:“這些信給人的印象是，Sullivan沒有犯罪。網(wǎng)絡(luò)安全是一個(gè)艱難的行業(yè)，首席信息安全官需要做出艱難的決定，也許這是一個(gè)善意的錯(cuò)誤，但僅此而已。除非整個(gè)行業(yè)對(duì)妨礙司法感興趣，否則此案的教訓(xùn)是……遵守法律，遵守規(guī)則，不要對(duì)正在進(jìn)行的積極調(diào)查隱瞞信息?！?/p>

當(dāng)沒有報(bào)告違規(guī)行為成為阻礙和誤解時(shí)，特別是當(dāng)首席信息安全官面臨壓力，要求他們避免披露有關(guān)違規(guī)行為和違規(guī)響應(yīng)的信息時(shí)，就會(huì)出現(xiàn)一個(gè)關(guān)鍵的混淆點(diǎn)，因?yàn)檫@些信息可能會(huì)為網(wǎng)絡(luò)攻擊者帶來更多漏洞。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)消費(fèi)者保護(hù)局局長(zhǎng)Samuel Levine在判案法官的一封信中這樣寫道:“由于被告Sullivan的行為，美國(guó)聯(lián)邦貿(mào)易委員會(huì)的工作人員被迫在2017年重新開始對(duì)優(yōu)步公司的數(shù)據(jù)安全措施進(jìn)行調(diào)查，并就2014年優(yōu)步公司發(fā)生的類似數(shù)據(jù)泄露事件重新談判當(dāng)時(shí)尚未達(dá)成的協(xié)議。”

在這種情況下，首席安全官最終是否應(yīng)該承擔(dān)責(zé)任?

另一個(gè)令人困惑的問題是：當(dāng)文件記錄顯示Sullivan為響應(yīng)團(tuán)隊(duì)建立了一個(gè)事件跟蹤系統(tǒng)，并向當(dāng)時(shí)的優(yōu)步公司首席執(zhí)行官Travis Kalanick和優(yōu)步公司總法律顧問Craig Clark (他領(lǐng)導(dǎo)了優(yōu)步公司對(duì)2016年事件的法律回應(yīng))通報(bào)并服從時(shí)，為什么首席安全官Sullivan要承擔(dān)責(zé)任并被指控掩蓋事實(shí)? Orrick聲稱此案是“史無前例”的，并根據(jù)判決記錄在法庭上指出了這一點(diǎn)。他說，“我現(xiàn)在仍然很困惑，優(yōu)步公司首席執(zhí)行官Travis Kalanick為Sullivan寫了一封信，而Kalanick并不在場(chǎng)。給我留下的印象是，他至少和Sulliva一樣有罪，卻沒有人把他告上法庭。”

5月17日發(fā)布的Law360法律評(píng)論也提出了這個(gè)問題，重點(diǎn)是Travis Kalanick和優(yōu)步公司總法律顧問Craig Clark都沒有出庭，這是不尋常的情況，并指出Kalanick通過作證獲得了政府豁免權(quán)。

Sulliva說:“我想了很多。如果你從來沒有擔(dān)任過首席安全官，那么你會(huì)很自然地得出的結(jié)論是，應(yīng)該受到指責(zé)的人就是擔(dān)任這個(gè)職位上的人。不過，首席安全官們并沒有控制住數(shù)據(jù)泄露的規(guī)模，而首席執(zhí)行官可以做到。首席安全官可以提出建議，但他們不是最終的決定者。這不是大多數(shù)人的選擇，他們希望能繼續(xù)在自己的位置上有所作為?！?/p>

正是優(yōu)步公司總法律顧問Clark建議不要報(bào)告這一漏洞，因?yàn)镾ulliva的安全團(tuán)隊(duì)能夠在數(shù)據(jù)泄露到暗網(wǎng)上之前檢索到數(shù)據(jù)。這就引出了另一個(gè)問題：如果黑客被抓獲，他們的系統(tǒng)中敏感數(shù)據(jù)在泄露到暗網(wǎng)之前被刪除，那么是否需要向監(jiān)管機(jī)構(gòu)報(bào)告?

違規(guī)報(bào)告準(zhǔn)則仍不明確

法官承認(rèn)，Sulliva通過誘騙兩名黑客簽署保密協(xié)議并利用保密協(xié)議跟蹤他們的IP地址，為遏制入侵和檢索被盜記錄所做的努力，并提供了后來被用來判定黑客共謀勒索罪的證據(jù)。但法官也表示，由于2016年沒有報(bào)告這一事件，對(duì)這些黑客的逮捕被推遲到2017年，當(dāng)時(shí)優(yōu)步公司的新領(lǐng)導(dǎo)層報(bào)告了這一違規(guī)行為。

每個(gè)關(guān)注此案的人都對(duì)Sulliva所做的決定是對(duì)還是錯(cuò)有自己的看法。但正如這一案件細(xì)節(jié)所揭示的那樣，其答案并不是非黑即白。Sulliva曾擔(dān)任過助理地方檢察官，優(yōu)步公司當(dāng)時(shí)因過去的丑聞而受到詆毀，以及明顯缺乏聯(lián)邦政府對(duì)違規(guī)行為報(bào)告的指導(dǎo)，這些都對(duì)此案及其結(jié)果產(chǎn)生了一定影響。

Airbnb公司首席道德官Rob Chesnut說，“公平地說，對(duì)于首席信息安全官來說，沒有太多關(guān)于何時(shí)向誰披露什么信息的指導(dǎo)，而且美國(guó)每個(gè)州都有不同的法律。這可能是一個(gè)艱難的判斷，這讓首席信息安全官陷入困境，不容易知道該向誰披露什么，尤其是在優(yōu)步這樣的公司?！彼彩恰队幸獾恼\(chéng)信：聰明的公司如何引領(lǐng)道德革命》一書的作者。

Chesnut從2015年到2016年在優(yōu)步公司的安全顧問委員會(huì)工作了一年，他表示，他堅(jiān)信應(yīng)該由總法律顧問負(fù)責(zé)就是否報(bào)告違規(guī)行為做出法律決定。奇怪的是，優(yōu)步公司的總法律顧問聲稱自己一無所知，盡管優(yōu)步公司的一名律師參與其中，首席執(zhí)行官對(duì)這一事件知情，而且該公司的很多工程團(tuán)隊(duì)都在努力解決違規(guī)行為。

從優(yōu)步公司數(shù)據(jù)泄露案中吸取的慘痛教訓(xùn)

Chesnut建議首席信息安全官與企業(yè)的總法律顧問保持密切關(guān)系，并確保包括外部法律顧問在內(nèi)的團(tuán)隊(duì)努力做出此類決定。Sullivan在量刑聽證會(huì)上也這么陳述。他告訴法官，他應(yīng)該通知總法律顧問Craig Clark，盡管Sullivan、首席執(zhí)行官Travis Kalanick和總法律顧問Craig Clark在泄露事件發(fā)生時(shí)都在出差。Sulliva還承認(rèn)，除了尋求優(yōu)步公司的律師幫助之外，還應(yīng)該尋求外部律師的幫助。Chesnut主張為這類案件聘請(qǐng)外部律師，同時(shí)建立一個(gè)記錄在案的命令鏈，然后在桌面演習(xí)中實(shí)踐可報(bào)告的違規(guī)場(chǎng)景。

當(dāng)Chesnut在21世紀(jì)初擔(dān)任eBay公司安全高級(jí)副總裁時(shí)，他從美國(guó)司法部招募了Sulliva，讓他擔(dān)任自己團(tuán)隊(duì)的高級(jí)主管。他回憶起Sulliva是如何親自參與抓捕和起訴那些試圖傷害eBay用戶的網(wǎng)絡(luò)犯罪分子，以及他是如何經(jīng)常乘坐飛機(jī)去羅馬尼亞等地出差。后來，在Facebook公司工作期間，Sulliva在兒童保護(hù)方面的工作獲得了聲譽(yù)。

優(yōu)步公司的文化可能在這一結(jié)果中發(fā)揮了作用

這個(gè)案例改變了什么? Chesnut推測(cè)，優(yōu)步公司的秘密文化可能已經(jīng)影響了Sulliva的決定。然而，他補(bǔ)充道:“認(rèn)為Sulliva應(yīng)該對(duì)此事負(fù)全部責(zé)任的想法是錯(cuò)誤的。他顯然成了替罪羊，因?yàn)樾律先蔚膬?yōu)步首席執(zhí)行官正試圖挽回優(yōu)步公司在公眾眼中的聲譽(yù)?！?/p>

優(yōu)步公司總部位于加州舊金山，這里是消費(fèi)者隱私法的發(fā)源地。加州的法律要求企業(yè)或州政府機(jī)構(gòu)“通知任何未經(jīng)授權(quán)的人獲取或合理認(rèn)為已獲取未加密個(gè)人信息的加利福尼亞居民?！钡刹]有說，如果企業(yè)設(shè)法在數(shù)據(jù)在暗網(wǎng)上傳播之前檢索到這些數(shù)據(jù)，企業(yè)就不必報(bào)告，而這是Clark使用的論點(diǎn)，Sulliva也接受了這一論點(diǎn)，因?yàn)樗麤]有向監(jiān)管機(jī)構(gòu)報(bào)告違規(guī)行為。

成為舉報(bào)人比被指控更容易?

根據(jù)加州法律，優(yōu)步公司應(yīng)該向相關(guān)機(jī)構(gòu)報(bào)告;如果沒有，那么Sulliva應(yīng)該報(bào)告。事實(shí)證明，舉報(bào)優(yōu)步公司的違規(guī)行為要比在受到重罪指控并被定罪之后的結(jié)果要容易得多。

在被指控之后，Sulliva的工作和生活受到了嚴(yán)重的影響。他必須設(shè)法保護(hù)他的三個(gè)孩子的安全和隱私，因?yàn)樗麄冊(cè)谏缃幻襟w上看到了有關(guān)Sulliva案例的消息。Sulliva現(xiàn)在不可能回到他熱愛的首席信息安全官的崗位上。他說，“我已經(jīng)焦慮了很長(zhǎng)時(shí)間。我在每個(gè)階段都低估了結(jié)果。最后，我在心理上做好了入獄的準(zhǔn)備?，F(xiàn)在是我弄清楚在緩刑期間該做什么的時(shí)候。”

Sulliva希望利用他的案件能夠?yàn)榫W(wǎng)絡(luò)安全領(lǐng)導(dǎo)人提供一個(gè)警醒，與立法者共同努力，澄清報(bào)告規(guī)則和責(zé)任，并最終起草一項(xiàng)數(shù)據(jù)泄露和報(bào)告法規(guī)。他還希望企業(yè)在董事會(huì)層面為首席信息安全官提供更多支持和培養(yǎng)，從而提高安全和領(lǐng)導(dǎo)層之間的透明度。

正如優(yōu)步公司數(shù)據(jù)泄露事件所表明的那樣，當(dāng)企業(yè)領(lǐng)導(dǎo)者的聲譽(yù)或人身自由受到威脅時(shí)，不要指望他們會(huì)公平行事。