На 13 март 2025 г. състав от трима съдии на Деветия апелативен съд на САЩ единодушно потвърди присъдата на бившия главен служител по сигурността на Uber Джоузеф Съливан. Решението потвърждава присъдата на Съливан от 2022 г. за възпрепятстване на правосъдието и злоупотреба с власт, отбелязвайки значителен прецедент в областта на корпоративната отговорност за киберсигурността. Съливан получи три месеца пробация и 200 часа общественополезен труд, въпреки че можеше да бъде осъден на до осем години затвор.
Деветият съдебен окръг потвърди, че Съливан е възпрепятствал разследването на FTC относно практиките за сигурност на Uber след голям пробив в данните през 2016 г.
Решението потвърждава, че ръководителите могат да бъдат подведени под наказателна отговорност за решения, взети в отговор на нарушения на сигурността на данните.
Делото подчертава значението на предпазливостта при спазването на нормативните изисквания и разкриването на информация за нарушения на сигурността на данните.
Компаниите трябва да преразгледат вътрешните процедури за справяне с нарушенията на данните, за да гарантират прозрачност и спазване на нормативните изисквания.
Екипите по киберсигурност и правните отдели следва да координират тясно действията си, за да гарантират, че плановете за реакция при инциденти са в съответствие с развиващите се правни задължения и регулаторни очаквания.
През 2022 г. Джоузеф Съливан, уважаван ръководител в областта на киберсигурността, е осъден за прикриване на пробив от 2016 г., при който са разкрити лични данни на 57 милиона потребители на Uber и 600 000 номера на шофьорски книжки на шофьори на Uber. Вместо да докладва за нарушението на Федералната търговска комисия на САЩ (ФТК) (съгласно текущите изисквания по силата на постановление за съгласие), Съливан разрешава плащане на 100 000 долара в биткойни на заплахата чрез програмата на Uber за възнаграждение за грешки, като в процеса си осигурява споразумение за неразкриване на информация. Подходът му имаше за цел да запази инцидента в тайна, докато Uber преговаряше за разрешаване на предишен инцидент, свързан със сигурността на данните, който се разследваше от FTC.
Случаят стана първият, в който корпоративен ръководител е подведен под наказателна отговорност за неправилно справяне с пробив в сигурността на данните, а присъдата на Съливан – предвид новото разширяване на личната отговорност за стратегически решения при управлението на киберинцидент – предизвика загриженост в цялата индустрия за киберсигурност. Въпреки това Деветият съдебен окръг потвърди решението на по-долната инстанция, като отхвърли жалбата на Съливан на всички основания.
Съдия Маргарет МакКиун, че присъдата на журито „подчертава значението на прозрачността дори в ситуации на неуспех – особено когато такива неуспехи са предмет на федерално разследване“. Съдът отхвърли аргумента на Съливан, че незаконните действия на хакерите могат да бъдат легитимирани със задна дата чрез споразумение за неразкриване на информация. Решението потвърди, че ръководителите, отговорни за киберсигурността, не могат да заобикалят изискванията за докладване в опит да избегнат увреждане на репутацията. Според съда корпоративните ръководители трябва да гарантират спазването на задълженията за оповестяване, дори когато се опитват да договорят вътрешно инциденти, свързани със сигурността.
Това решение установява важен правен прецедент, който сигнализира, че ръководството, особено тези, които отговарят за въпросите на киберсигурността, не са защитени от наказателна отговорност за неразкриване на киберинциденти. Компаниите трябва да преоценят своите политики за реакция при инциденти, за да ги приведат в съответствие с федералните и щатските задължения за докладване. Делото допълнително подчертава необходимостта от ясно и проактивно управление на корпоративните програми за киберсигурност. Служителите, отговарящи за сигурността, и правните екипи трябва да работят съвместно, за да документират процесите на вземане на решения и да гарантират спазването на нормативните изисквания. И въпреки че сами по себе си не са незаконни, организациите трябва също така да осъзнаят потенциалните рискове, свързани с договарянето на плащания на хакери чрез програмите за бели хакери или за награди за грешки, и да не се опитват да използват тези програми, за да заобикалят задълженията за докладване.
С този прецедент, както и с нарастващите задължения за докладване и прозрачност както на федерално, така и на щатско ниво, организациите трябва да обмислят по-широки културни и оперативни промени, необходими за привеждане на ръководството на киберсигурността в съответствие с правните очаквания. Компаниите трябва да предприемат проактивни мерки, за да гарантират, че служителите по сигурността и правните екипи са подготвени да се справят с разкриването на нарушения по начин, който отговаря както на изискванията за съответствие, така и на стратегиите за управление на корпоративния риск.
Една от непосредствените последици е необходимостта от преоценка на вътрешните механизми за подаване на сигнали и ескалация, за да се помогне на специалистите по сигурността да се чувстват овластени да докладват за потенциални проблеми, свързани със спазването на законодателството, без да се страхуват от ответни мерки. Създаването на ясни, защитени начини за докладване може да предотврати правни грешки и да засили отговорността на всички нива на управление. Освен това организациите трябва да включат сценарии за реакция при пробив в настолни упражнения, включващи както екипи по сигурността, така и правни екипи, като гарантират, че процесите на вземане на решения са добре документирани и защитими в случай на регулаторен контрол.
Освен това компаниите следва да обмислят проактивно взаимодействие с регулаторни органи и браншови групи, за да изпреварят променящите се очаквания в областта на управлението на киберсигурността. Регулаторните агенции все повече отдават приоритет на прозрачността при реагиране на инциденти, а насърчаването на отношения на сътрудничество с правоприлагащите органи – когато и където е уместно – може да осигури критичен поглед върху очакванията за съответствие и тенденциите в правоприлагането. Тъй като регулаторните пейзажи продължават да се променят, предприятията, които интегрират анализа на правния риск в своите рамки за вземане на решения в областта на киберсигурността, ще бъдат в по-добра позиция да намалят както правните рискове, така и щетите за репутацията. Като цяло организациите трябва да признаят, че киберсигурността не е просто технически въпрос, а фундаментален правен и управленски проблем, който изисква добре координиран, многофункционален подход.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
