ما يحدث في فيغاس يبقى في فيغاس و لكن ما يحدث في Uber قد يحدث في أي شركة. في الخامس من تشرين الأول تم اعتبار كبير مسؤولي الأمن (CSO) في Uber، جو سوليفان Joe Sullivan ، مذنباً بتهم إعاقة العدالة والتستر على خرق البيانات عام 2016 لشركة Uber. لا يمكننا وصف علاقة Uber بالأمن السيبراني بالإيجابية. فبعد تجارب سلبية سابقة، تعرضت الشركة لهجوم إلكتروني هذا العام –حادثة اختراق Uber-. بعد ظهر يوم الخميس 15-أيلول قام متسلل بتنزيل تقارير الثغرات في HackerOne ومشاركة لقطات شاشة للأنظمة الداخلية للشركة ولوحة معلومات البريد الإلكتروني وخادم Slack. أظهرت لقطات الشاشة التي شاركها المخترق ، وشاهدها روبودين، ما يبدو أنه وصول كامل إلى العديد من أنظمة Uber IT الهامة. بما في ذلك برامج الأمن المطبقة في الشركة و نطاق نظام التشغيل windows domain.
Joe Sullivan – التستر أم رفض الإبلاغ؟
في عام 2016 ، بينما كانت لجنة حكومية أمريكية تحقق مع أوبر في حادثة سابقة ، علم Joe Sullivan بحادث قرصنة آخر أثر على حسابات أوبر لأكثر من 57 مليون راكب وسائق. لكنه بدلاً من الإبلاغ عن الحادث فقد اتخذ خطوات لإخفائه عن الحكومة ، وكذلك عن العديد من زملائه في أوبر. وكذلك، ضمن محاولته المزعومة للتستر على الحادث ، دفع Sullivanسوليفان أيضًا مبلغ 100000 دولار أمريكي للمتسللين من خلال برنامج “bug bounty” الخاص بأوبر. كان المبلغ مقابل توقيعهم على اتفاقية عدم إفشاء (NDA) التي تعد بعدم الكشف عن الحادث وذكر كاذباً أنهم لم يسرقوا معلومات العملاء الحساسة.
هذه القضية مثيرة للقلق. إنها المرة الأولى التي يواجه فيها مسؤول تنفيذي في شركة مقاضاة جنائية بسبب طريقة استجابته لحادث خرق بيانات. والجدير بالذكر أن الخط الفاصل بين التستر على خرق البيانات ومجرد رفض الإبلاغ عنها ليس واضحاً تماماً في هذه القضية. حيث لم يكن هناك قانون وقتها يطلب من الشركات الكشف عن حوادث أمن البيانات للحكومة الفيدرالية. بل أن مثل هذا القانون -بصيغته الملزمة- لن يدخل حيز التنفيذ على الأرجح حتى العام 2025.
أهمية هذه المحاكمة – رسائل قوية
الغريب في الأمر أن المحاكمة جرت كما لو كان هناك بالفعل ما يلزم قانوناً الكشف عن مثل هذه الحوادث للحكومة. بحيث يكون أي عدم إفشاء “تستراً”. ذكر مدعي عام أحد الولايات الأمريكية ، على سبيل المثال ، أن وزارة العدل تتوقع من الشركات التي لديها إمكانية الوصول إلى بيانات المستهلك الحساسة حماية تلك البيانات وتنبيه العملاء والسلطات المختصة عند سرقة هذه البيانات من قبل المتسللين. وأن الحكومة لن نتسامح مع إخفاء المعلومات المهمة عن الجمهور من قبل المديرين التنفيذيين للشركات الذين يهتمون بحماية سمعتهم أكثر من اهتمامهم بحماية المستخدمين.
على ما يبدو فالحكم الصادر على جو سوليفان يراد به توجيه رسالة واضحة مفادها: تتحمل الشركات التي تحتفظ ببيانات عملائها مسؤولية حماية تلك البيانات والقيام بالأمر الصحيح عند حدوث انتهاكات.
أدى هذا الحكم إلى حالة من الخوف في مجتمع الأمن السيبراني و هدد بتقويض العلاقة بين وزارة العدل والقطاع الخاص. لاستعادة الثقة ، يجب على وزارة العدل إصدار ضوابط تحدد الظروف التي ستتم فيها مقاضاة الشركات و / أو المديرين التنفيذيين للشركات بسبب عدم صدقهم بشكل كافٍ بشأن حادثة سيبرانية.
التستر على خرق البيانات – بناء الثقة أم تقويضها
يبقى الإبلاغ عن الحوادث السيبرانية موضوعاً حساساً حيث ضاعفت الحكومة جهودها لتشجيع القطاع الخاص على الإبلاغ طوعا عن الحوادث الإلكترونية. بحيث يتم اعتبار الشركات التي تبلغ طواعية عن عمليات الاختراق و التسلل ضحايا ، وليس أهداف للتحقيق. و كذلك سعت الحكومات لبناء الثقة في هذا المجال. قد يشجع الحكم على سوليفان الشركات على إبلاغ مكتب التحقيقات الفيدرالي بحوادث أمن البيانات. و ذلك خشية أن يتم اتهامهم أيضًا بالتورط في جريمة “التستر”.
ومع ذلك ، هناك خطر من تقويض الثقة مع ضحايا القرصنة رغم التأكيدات الحكومية أن أولئك الذين يتعاونون بحسن نية ليس لديهم ما يدعو للقلق. تكمن المشكلة في أن التأويلات القانونية المستخدمة في المحاكمة تتجاوز وقائع القضية بمراحل. بل أنها قد تجعل المديرين التنفيذيين للشركات يفكرون مرتين قبل الإبلاغ عن الحوادث إذا كانت هناك حتى فرصة ضئيلة أن ينقلب الأمر عليهم. لذلك من المهم إصدار توضيحات بشأن هذه المسألة بدلاً من ترك الساحة لاستنتاجات مبنية على شائعات أو بيانات صحفية.
أسئلة حول مفهوم التستر على خرق البيانات
في وقت حادثة عام 2016 ، كانت أوبر بالفعل في خضم تحقيق حكومي بشأن ممارسات أمن البيانات الخاصة بها والتي نشأت عن حادثة منفصلة في عام 2014. والأهم من ذلك ، كان هذا التحقيق الموجود مسبقاً هو الذي أدين سوليفان بعرقلته في عام 2022. في عام 2015 ، تم طلب معلومات شاملة حول أي حالات أخرى للوصول غير المصرح به إلى معلومات المستخدم الشخصية بالإضافة إلى معلومات حول برنامج وممارسات أمان البيانات الأوسع لـ Uber. كان سوليفان مسؤولاً بشكل كبير عن إعداد رد أوبر على تلك الطلبلات الحكومية. و بعدها بعام تم عزله على خلفية ممارسات أمان بيانات أوبر. بعد عشرة أيام من عزله، تلقى سوليفان رسالة بريد إلكتروني من أحد المتسللين يبلغه بحادث جديد يتضمن قدراً كبيراً من بيانات العملاء الحساسة.
تحقق الموظفون في فريق CSO بسرعة من دقة هذه المطالبات ، والتي تضمنت سجلات لما يقرب من 57 مليون مستخدم أوبر و 600000 رقم رخصة قيادة. وفقاً للمحققين فإن سوليفان لم يذكر لهم الحادث أبداً.
في هذه الجزئية يبدو سوليفان مذنباً فعلاً. لكن قد تتساءل الشركات أنه إذا تعاونت الشركة مع تحقيق حكومي وقدمت معلومات حول حادث أمن البيانات ، فهل من واجبها تحديث هذه المعلومات (الإفصاح) إذا علمت لاحقاً أن الحادث كان أسوأ مما كان يعتقد في لحظة الإبلاغ عنه.
و كذلك إذا علمت الشركة بتطفل جديد ومن المحتمل أن يكون ذا صلة؟ هل من المضلل قيام الشركة بحذف معلومات حساسة. من هذه المعلومات، أنها دفعت فدية للمتسللين لمنعهم من نشر البيانات المسروقة على “موقع التشهير” الخاص بهم؟
سياسة مكتوبة أم مجرد تأويلات
يمكن لسياسة مكتوبة أن تطمئن المعنيين إلى أن الجهات الحكومية تتفهم الحساسيات الشديدة المحيطة بحادث أمن البيانات. بما في ذلك مخاطر السمعة و العلاقات العامة. تلك العوامل تجعل من الصعب على الشركات مشاركة جميع المعلومات ذات الصلة مع الحكومة في أعقاب اختراق الكمبيوتر مباشرة. يجب أن توضح السياسات أنه لن يتم معاقبة الفعل الجيد المتمثل في الإبلاغ الطوعي عن الحوادث الإلكترونية . وأن مجرد الإبلاغ طواعية عن بعض المعلومات حول حادث لن يؤدي إلى واجب الإبلاغ عن مزيد من المعلومات. السياسة المكتوبة توفر الوضوح حول ما هو متوقع من الضحايا. سيخفف ذلك القلق الناجم عن التأويلات القانونية التي تم استخدامها ضد الإدارة السابقة لشركة Uber.
التلاعب بالمسرح يضلل الجمهور
رتب سوليفان دفعة قدرها 100000 دولار للمتسللين مقابل الحصول على اتفاقية عدم الإفصاح NDA التي وعدت بعدم الكشف عن الحادث. وذكر كاذباً أن الحادث لم يتضمن اختراقاً لبيانات حساسة. بالإضافة إلى ذلك ، قام سوليفان بتغيير اتفاقية عدم الإفشاء ليجعل الأمر يبدو كذباً وكأن ما حدث كان اختبار اختراق White Hat لمتسللين يتمتعون بحسن نية مجرد محاولة اكتشاف العيوب في أمان Uber ، بدلاً من التطلع إلى سرقة بيانات العملاء.
من الخطأ ألا تفصح شركة تعلم أنها كانت ضحية لتطفل فعلي أو محاولة اقتحام لحواسبها عما حدث للجهات الرقابية وفق القوانين المحلية في بلدها. قد تقرر الشركة الاحتفاظ بالسرية ، لمجموعة متنوعة من الأسباب . لكن الشركة التي تتخذ هذا القرار الآن عليها أن تقلق من أن أي شيء تقوله أو تفعله للحفاظ على سرية ما حدث يمكن أن يفسره القضاء بعد سنوات من وقوعه على أنه “عمل مقصود للتستر”.
قرارات CISO يمكن أن تفهم خطأ:
دفع الفدية
في كثير من الأحيان ، تدفع الشركة فدية لمنع المتسللين من نشر بيانات حساسة عبر الانترنت. بما في ذلك المعلومات الشخصية لعملائها. خارج سياق عصابات الفدية الخاضعة للعقوبات القانوينة ، لم تفكر الحكومة الأميركية بجدية حتى الآن في جعل مدفوعات الفدية غير قانونية. ومع ذلك ، ليس من الصعب تخيل أن دفع الفدية مقابل وعد صريح أو ضمني بعدم الكشف عن وجود الحادث يمكن اعتباره إخفاءاً مؤكداً للحادث.
برامج الكشف عن الثغرات الأمنية
العديد من الشركات لديها برامج للكشف عن نقاط الضعف. أو مكافأة الأخطاء bounty program . وهي برامج تقدم مكافآت مالية للمتسللين الأخلاقيين أو “white hat” الذين يكتشفون ويبلغون عن ثغرات قد تسمح باختراق شركة ما. و كثيراً ما تستخدم NDAs كجزء من برامج مكافآت الأخطاء. لأن الشركات لا تريد الإعلان عن حقيقة أو حتى إمكانية اختراقها أو نقاط الضعف التي سمحت بحدوث مثل هذا القرصنة. فهل يأتي يوم يعتبر فيه القضاء توقيع NDA إخفاءاً مقصوداً للحقائق؟
القيود المفروضة على نشر المعلومات المتعلقة بالهجمات السيبرانية
في محاكمة سوليفان ،عرض المدعون اتصالات الشركة الداخلية التي شدد فيها سوليفان على ضرورة إبقاء حادث عام 2016 سرياً. و اعتبروا هذه الأوامر بمثابة حجب للحقيقة و بمستوى التسترعلى خرق البيانات. لكن في واقع الحال، تتحكم الشركات بإحكام في المعلومات المتعلقة بحادث إلكتروني ، خاصة أثناء استمرار التحقيق. قد تكون هناك أسباب وجيهة جدًا للقيام بذلك. ومنها الحاجة إلى الحفاظ على سمعتها.و كذلك الحاجة إلى تجنب نشر المعلومات بشكل مجتزأ قبل معرفة جميع الحقائق.
قد تبدو تفاصيل هذه المحاكمة شأناً أمريكياً داخلياً و لكنها في الحقيقة حدث هام لكل أصحاب القرار في الأمن السيبراني. ينصحكم روبودين بقراءة تفاصيل هذه القضية بشكل عميق. من الضروري معرفة المسافة الفاصلة بين العمل للحفاظ على مصلحة الشركة و بين مخالفة القوانين و بالتالي تعريض المستقبل المهني و الشخصي للخطر نتيجة قصور القوانين أو تأويلها بطريقة خاطئة.
