Uber’e katılmadan önce 2015 yılında güvenlik şefi olarak görev yapan Joe Sullivan, Amerika Birleşik Devletleri Adalet Bakanlığı’nda iki yıl boyunca federal savcı olarak görev yaptı ve burada bilgisayar korsanlığı ve fikri mülkiyet konularında uzmanlaştı. Bir dizi yüksek profilli vaka üzerinde çalıştı. ABD’de ilk dava Dijital Binyıl Telif Hakkı Yasası kapsamında bir kişinin kovuşturulmasına NASA’nın Jet Propulsion Laboratuvarını ihlal eden hacker.
Kuruluşların sözde kötü adamlara karşı savunma yapmasına yardımcı olmak için ABD hükümetine katıldıktan 20 yıldan fazla bir süre sonra Sullivan, kendisini adalet sisteminin diğer tarafında buldu.
Ekim 2022’de bir San Francisco jürisi, onu resmi bir yargılamayı engelleme ve ağır bir suçun yanlış değerlendirilmesi (kötü muameleyi bildirmeme suçu) suçlamalarından suçlu buldu. Bu yılın mayıs ayında, Sullivan’a ceza verildi üç yıl denetimli serbestlik.
Bu ironi, Black Hat Europe siber güvenlik konferansındaki açılış konuşmasından önce bu hafta Londra’da TechCrunch’a konuşan Sullivan’ın gözünden kaçmadı.
Bu emsal teşkil eden dava, 2016 yılında bilgisayar korsanlarının 50 milyon Uber müşterisi ve sürücüsünün verilerini ifşa etmekle tehdit ettiği Uber sistemlerinin ihlaliyle ilgilidir. Karar esas olarak Uber’in ihlali Federal Ticaret Komisyonu’na bildirmeme kararı etrafında yoğunlaştı; çünkü şirket, 2014’ün başlarında sistemlerine yapılan bir hacklemenin 50.000 kişinin isimlerini ve ehliyet numaralarını açığa çıkarmasından sonra tüm ihlalleri raporlamakla görevlendirildi.
Dava, 2017 yılında Uber’den kovulan Sullivan’ın beklediği gibi gitmedi.
“Davayı kazanacağımızı düşünüyorduk. Avukatlarım ‘buna ihtiyacımız yok’ dediklerinden zar zor savunma yaptık. İfade vermedim, dolayısıyla jüri beni hiç görmedi. Az önce isimsiz Uber yöneticisini maske takmış olarak gördüler,” dedi Sullivan Çarşamba günkü röportaj sırasında TechCrunch’a.
Türünün ilk örneği olan karar başlangıçta Sullivan’ı çok etkiledi. “Geçen Ekim ayında davayı kaybettiğimde korkaktım, kimseyle konuşmak istemiyordum ve hayatıma ne olacağını bilmiyordum” dedi. “Sadece bir topun içinde kıvrılmak istedim.”
Sullivan’ın davası aynı zamanda diğer STK’lar ve CISO’lar arasında da endişeye neden oldu; bunların bir kısmı davanın hüküm veren hakimi William Orrick’e mektuplar yazarak Sullivan’ın eylemlerini övdü ve kendilerinin de sadece işlerini yaptıkları için yasal cezalarla karşılaşabilecekleri yönündeki korkularını dile getirdi.
50’den fazla CISO tarafından imzalanan bir mektupta “Joe’nun vakasının siber güvenlik topluluğu üzerinde büyük bir etkisi oldu” yazıyordu. “Bu, sık sık yönetici ekip görüşmelerine ve endüstri seminerlerindeki panel tartışmalarına konu oldu ve yasal gereklilik henüz belirlenmemiş olsa bile, politika ve uygulamaları açıklama yönünde hata yapma yönünde değiştirme çabalarına önemli bir itici güç oldu.”
Bu korkular Sullivan’ın mahkumiyetinin çok ötesine geçti. Şu anda Ukrayna halkına insani yardım ve teknoloji yardımı sağlamayı amaçlayan kar amacı gütmeyen bir kuruluşta CEO olarak çalışan eski Uber CSO’su, TechCrunch’a her hafta güvenlik uzmanlarından sektörde kalmaları gerekip gerekmediğini ve sektörde kalmaları gerekip gerekmediğini soran çağrılar aldığını söyledi. Daha fazla sorumluluk ve daha fazla risk getiren daha üst düzey roller için görüşmeler.
Sullivan, “Güvenlik yöneticilerine şu anda işten kaçmamaları, ona doğru koşmaları gerektiğini söylüyorum” dedi ve siber güvenlik uzmanları arasında ortak kaygının yanı sıra kendisinin de bir uzman olmak istediğini belirtti. “Daha iyi insan”, Uber veri ihlali davası hakkında konuşmaya başlamak istemesinin nedenlerinden biri.
“Yaşadıklarımı paylaşmanın benim için hiç paylaşmamaktan daha iyi, daha sağlıklı olduğunu fark ettim. Sullivan TechCrunch’a şöyle konuştu: “Bunu söylemek bir yılımı aldı ama doğru yol bu.” “Çok kırgındım ama daha iyi bir insan olmak istiyorum. Ayrıca güvenlik dünyasının bir parçası olmaya devam etmek istiyorum, bu yüzden bunu aşmam gerekiyor.
Sullivan, TechCrunch’a açıkça konuşmaya istekli olmasının bir başka nedeninin de “100 avukat tarafından 100 web semineri” düzenlenmiş olması ve ‘sigortanız varsa, yasal ve halkla ilişkiler getirirseniz sonunuz Joe gibi olmayacak’ demesi olduğunu söyledi. odaya girerseniz veya bir sorumluluk politikanızı ihlal ediyorsanız.’”
“Bunların hepsini biz yaptık [at Uber]” dedi Sullivan. “Sigortamız vardı; bir veri ihlali müdahale politikası vardı; Halkla ilişkilerde döngüye girdik ve CEO [Travis Kalanick] Dolar miktarı da dahil olmak üzere her şeye imza attı” diye ekledi ve 2016’daki Uber ihlaline yol açan güvenlik açığını keşfeden iki gence yapılan 100.000 dolarlık ödemeye atıfta bulundu.
Uber’in o zamanki CEO’sunun sorumlu tutulması gerektiğine inanıp inanmadığı sorulduğunda Sullivan şunları söyledi: “Günün sonunda kimsenin yanlış bir şey yaptığını düşünmüyorum.”
“Eğer olmasaydı bugün Uber var olmayacaktı, aslında hâlâ taksi kullanıyor olurduk. [Kalanick] ve onun katıksız gücü,” diye ekledi Sullivan. “İyi tarafı, dünyada bazı değişikliklere yol açtı. Ancak işin kötü tarafı, onun felsefesi ilk yumruğu atan kişinin savaşı kazanmasıydı.”
Bozulmuş bir sektörü onarmak
Sullivan’ın “kariyerinin en büyük ironisi” olarak tanımladığı gibi, Adalet Bakanlığı’ndaki görevinin bir kısmı, hükümetle daha fazla işbirliğini teşvik etmek amacıyla Silikon Vadisi’ndeki kuruluşlarla yakın işbirliği içinde çalışmasını içeriyordu. “Bu benim kariyerimin hikayesiydi; Kamu ve özel sektörün birlikte çalışmasını sağlamaya çalışıyoruz.”
Sullivan, güçlü düzenlemelerin yanı sıra bu kamu-özel sektör işbirliğinin ileriye dönük olarak “bozuk” siber güvenlik sektörünü düzeltmenin tek yolu olduğuna inanıyor.
“Katıldığımda [Uber] 40 milyar dolarlık şirketler arasında en kötü güvenliğe sahipti ve artık dünyada uçamıyor. Sullivan, “Bir ürünü satacaksanız, onu sattığınız gün güvenliğinizin yeterince iyi olması gerekir” dedi. “Düzenlendiğim için hükümet düzenlemesi fikrine çok kızgın olabilirim ama aynı zamanda internetin gelecekte iyi çalışması için buna ihtiyacımız olduğunu da düşünüyorum.”
Sullivan, ABD Güvenlik ve Borsa Komisyonu’nun kararını övdü gelen veri ihlali açıklama kuralları15 Aralık’ta yürürlüğe girecek olan bu kılavuz, mükemmel olmasa da sıfır rehberliğe sahip olmaktan çok daha iyi olduğunu belirtiyor. “Ayrıntıları istediğimiz kadar inceleyebiliriz, ancak bunu yapmanın doğru yolu budur” dedi. “SEC’i herkesten daha az eleştiren kişi ben gibiyim çünkü onları kural koymaya çalıştıkları için övmemiz gerektiğini düşünüyorum.”
Birçoğu hala kuruluşlarındaki güvenlik aksaklıklarından kişisel olarak sorumlu tutulacaklarından endişe duyan STK’lara ve CISO’lara gelince, Sullivan, gelecekteki düzenlemeleri şekillendirmek için şimdi seslerini yükseltme zamanının geldiğine inanıyor.
Sullivan, TechCrunch’a “Kendimizi yukarı çekmeliyiz, işin politik yönünü öğrenmeliyiz ve sesimizi nasıl duyuracağımızı öğrenmeliyiz” dedi. “Mesleğimizde uzman, gerçek toplumsal lider olabilecek liderler yetiştirmemiz gerektiğini düşünüyorum.”