Bevor ich zu Uber kam Als Chief Security Officer im Jahr 2015 war Joe Sullivan zwei Jahre lang als Bundesanwalt beim US-Justizministerium tätig, wo er sich auf Computer-Hacking und IP-Fragen spezialisierte. Er arbeitete an einer Reihe hochkarätiger Fälle, von der erste Fall einer Strafverfolgung in den USA gemäß dem Digital Millennium Copyright Act zur Strafverfolgung von a Hacker, der in das Jet Propulsion Laboratory der NASA eingedrungen ist.
Mehr als 20 Jahre nachdem Sullivan der US-Regierung beigetreten war, um Organisationen bei der Verteidigung gegen die sogenannten Bösewichte zu unterstützen, befand er sich auf der anderen Seite des Justizsystems.
Im Oktober 2022 befand ihn ein Geschworenengericht in San Francisco wegen Behinderung eines offiziellen Verfahrens und Unterlassung einer Straftat (Versäumnis, ein Fehlverhalten zu melden) für schuldig. Im Mai dieses Jahres Sullivan wurde verurteilt auf drei Jahre auf Bewährung.
Die Ironie ist Sullivan nicht entgangen, der diese Woche vor seiner Grundsatzrede auf der Cybersicherheitskonferenz Black Hat Europe mit Tech in London sprach.
Dieser richtungsweisende Fall betrifft einen Verstoß gegen die Systeme von Uber im Jahr 2016, bei dem Hacker drohten, die Daten von 50 Millionen Uber-Kunden und -Fahrern offenzulegen. Im Mittelpunkt des Urteils stand vor allem die Entscheidung von Uber, den Verstoß nicht der Federal Trade Commission zu melden, da das Unternehmen dazu verpflichtet wurde, alle Verstöße zu melden, nachdem ein früherer Hack seiner Systeme im Jahr 2014 die Namen und Führerscheinnummern von 50.000 Personen offengelegt hatte.
Der Fall verlief nicht so, wie Sullivan, der 2017 von Uber entlassen wurde, erwartet hatte.
„Wir dachten, wir würden den Prozess gewinnen. Wir haben uns kaum verteidigt, weil meine Anwälte meinten: „Das ist nicht nötig.“ Ich habe nicht ausgesagt, daher hat mich die Jury nie gesehen. Sie haben gerade den anonymen Uber-Manager mit einer Maske gesehen“, sagte Sullivan gegenüber Tech während des Interviews am Mittwoch.
Das erste Urteil seiner Art traf Sullivan zunächst hart. „Als ich letzten Oktober den Prozess verlor, war ich außer mir, ich wollte mit niemandem reden und wusste nicht, was mit meinem Leben passieren würde“, sagte er. „Ich wollte mich einfach nur zu einer Kugel zusammenrollen.“
Sullivans Fall sorgte auch bei anderen CSOs und CISOs für Besorgnis. Einige von ihnen schrieben Briefe an den Urteilsrichter des Falles, William Orrick, in denen sie Sullivans Taten lobten und ihre Befürchtungen zum Ausdruck brachten, dass auch ihnen rechtliche Strafen drohen könnten, wenn sie einfach nur ihre Arbeit erledigten.
„Joes Fall hatte enorme Auswirkungen auf die Cybersicherheitsgemeinschaft“, heißt es in einem Brief, der von mehr als 50 CISOs unterzeichnet wurde. „Es war Gegenstand häufiger Gespräche von Führungsteams und Podiumsdiskussionen bei Branchenseminaren und war ein wesentlicher Treiber für Bemühungen, Richtlinien und Praktiken zu ändern, um auf der Seite der Offenlegung zu bleiben, selbst wenn die rechtliche Verpflichtung dazu ungeklärt bleibt.“
Diese Befürchtungen hielten lange über Sullivans Überzeugung hinaus an. Der ehemalige Uber-CSO, der jetzt als CEO einer gemeinnützigen Organisation arbeitet, die sich der Bereitstellung humanitärer und technologischer Hilfe für die Menschen in der Ukraine widmet, sagte gegenüber Tech, dass er jede Woche Anrufe von Sicherheitsexperten erhält, die fragen, ob sie in der Branche bleiben und ob sie dies tun sollen Vorstellungsgespräche für höherrangige Positionen, die mit größerer Verantwortung – und größerem Risiko – verbunden sind.
„Was ich den Sicherheitsmanagern jetzt sage, ist, dass sie nicht vor dem Job weglaufen sollten – sie sollten auf ihn zulaufen“, sagte Sullivan und wies darauf hin, dass die gemeinsamen Ängste unter Cybersicherheitsexperten zusammen mit der Tatsache, dass er ein werden wollte „besserer Mensch“ ist einer der Gründe, warum er anfangen wollte, sich zum Fall der Uber-Datenverletzung zu äußern.
„Mir wurde klar, dass es besser und gesünder für mich ist, das zu teilen, was ich durchgemacht habe. Ich habe ein Jahr gebraucht, um das zu sagen, aber das ist die richtige Art und Weise“, sagte Sullivan gegenüber Tech. „Ich war sehr verbittert, aber ich möchte ein besserer Mensch sein. Ich möchte auch weiterhin Teil der Sicherheitswelt sein, also muss ich darüber hinwegkommen.“
Sullivan sagte gegenüber Tech, ein weiterer Grund, weshalb er sich gerne zu Wort melden wolle, sei die Tatsache, dass es „100 Webinare von 100 Anwälten gegeben habe, in denen es heißt: ‚Sie werden nicht wie Joe enden, wenn Sie eine Versicherung haben, wenn Sie Recht und PR mitbringen.‘ in den Raum, oder wenn Sie eine Richtlinie zur Verantwortung bei Verstößen haben.’“
„Wir haben all diese Dinge getan [at Uber]“, sagte Sullivan. „Wir hatten eine Versicherung; es gab eine Richtlinie zur Reaktion auf Datenschutzverletzungen; Wir haben PR und den CEO eingeschaltet [Travis Kalanick] „Ich habe alles unterschrieben, auch den Dollarbetrag“, fügte er hinzu und bezog sich dabei auf die Zahlung von 100.000 US-Dollar, die an die beiden jungen Männer geleistet wurde, die die Sicherheitslücke entdeckten, die zum Uber-Verstoß im Jahr 2016 führte.
Auf die Frage, ob seiner Meinung nach der damalige CEO von Uber hätte zur Verantwortung gezogen werden müssen, sagte Sullivan: „Ich glaube nicht, dass am Ende des Tages irgendjemand etwas falsch gemacht hat.“
„Uber gäbe es heute nicht – wir würden tatsächlich immer noch Taxis nehmen – wenn es das nicht gäbe [Kalanick] und seine schiere Kraft“, fügte Sullivan hinzu. „Auf der anderen Seite hat er einige Veränderungen in der Welt vorangetrieben. Die Kehrseite seiner Philosophie war jedoch, dass die Person, die den ersten Schlag ausgeführt hat, den Kampf gewinnt.“
Eine kaputte Branche reparieren
Was Sullivan als „die größte Ironie seiner Karriere“ bezeichnet, bestand darin, dass er im Rahmen seiner Rolle im Justizministerium eng mit Organisationen im Silicon Valley zusammenarbeitete, um eine stärkere Zusammenarbeit mit der Regierung zu fördern. „Das war die Geschichte meiner Karriere; Ich versuche, den öffentlichen und den privaten Sektor zur Zusammenarbeit zu bewegen.“
Sullivan glaubt, dass diese Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor zusammen mit einer strengen Regulierung in Zukunft die einzige Möglichkeit ist, die „kaputte“ Cybersicherheitsbranche zu reparieren.
„Als ich beigetreten bin, [Uber] hatte die schlechteste Sicherheit aller 40-Milliarden-Dollar-Unternehmen, und das kann in der Welt nicht mehr fliegen. Wenn Sie ein Produkt verkaufen wollen, muss Ihre Sicherheit am Tag des Verkaufs gut genug sein“, sagte Sullivan. „Ich könnte über die Idee einer staatlichen Regulierung sehr verbittert sein, da ich reguliert wurde, aber ich denke auch, dass wir sie brauchen, damit das Internet in Zukunft gut funktioniert.“
Sullivan lobte die US-Börsenaufsichtsbehörde Offenlegungsregeln für eingehende Datenschutzverletzungen, die am 15. Dezember in Kraft tritt, und stellt fest, dass es zwar nicht perfekt, aber viel besser ist, als keine Leitlinien zu haben. „Wir können so viele Details herauspicken, wie wir wollen, aber das ist der richtige Weg“, sagte er. „Ich scheine die Person zu sein, die die SEC weniger kritisiert als alle anderen, weil ich denke, dass wir sie dafür loben sollten, dass sie versuchen, Regeln aufzustellen.“
Was CSOs und CISOs betrifft, von denen viele immer noch befürchten, dass sie persönlich für Sicherheitsmängel in ihrer Organisation haftbar gemacht werden, ist Sullivan der Ansicht, dass es jetzt an der Zeit ist, sich zu äußern, um künftige Vorschriften mitzugestalten.
„Wir müssen uns zusammenreißen, wir müssen die politische Seite lernen und wir müssen lernen, unserer Stimme Gehör zu verschaffen“, sagte Sullivan gegenüber Tech. „Ich denke, wir müssen Führungskräfte entwickeln, die echte gesellschaftliche Führungskräfte sein können, die Experten in unserem Beruf sind.“