„Dies ist ein einzigartiger Fall, weil es diese laufende FTC-Untersuchung gab“, sagt Shawn Tuma, ein Partner der Anwaltskanzlei Spencer Fane, der sich auf Fragen der Cybersicherheit und des Datenschutzes spezialisiert hat. „Er hatte gerade eine eidesstattliche Aussage gemacht und war mit Sicherheit verpflichtet, weitere Informationen zu ergänzen und der FTC relevante Informationen zur Verfügung zu stellen. So funktioniert das.”
Tuma, der häufig mit Unternehmen zusammenarbeitet, die auf Datenschutzverletzungen reagieren, sagt, dass die Verurteilung wegen eines Verbrechens umso besorgniserregender in Bezug auf zukünftige Präzedenzfälle ist. Während die Staatsanwaltschaft anscheinend in erster Linie durch Sullivans Versäumnis motiviert war, die FTC während der Ermittlungen der Agentur über die Verletzung von 2016 zu informieren, könnte die Anklage wegen Fehlhafts in der Öffentlichkeit den Eindruck erwecken, dass es niemals legal oder akzeptabel ist, Ransomware-Akteure oder Hacker zu bezahlen, die versuchen, eine Zahlung zu erpressen, um sie zu behalten gestohlene Daten privat.
„Diese Situationen sind hoch aufgeladen und CSOs stehen unter immensem Druck“, sagt Vance. „Was Sullivan getan hat, scheint erfolgreich gewesen zu sein, um zu verhindern, dass die Daten herauskommen, also war es ihnen ihrer Meinung nach gelungen, Benutzerdaten zu schützen. Aber hätte ich das persönlich getan? Ich hoffe nicht.”
Sullivan gesagt Die New York Times in einer Erklärung von 2018: „Ich war überrascht und enttäuscht, als diejenigen, die Uber in einem negativen Licht darstellen wollten, schnell vorschlugen, dass dies eine Vertuschung sei.“
Die Fakten des Falls sind insofern etwas konkret, als Sullivan Uber nicht einfach dazu gebracht hat, die Kriminellen zu bezahlen. Sein Plan beinhaltete auch, die Transaktion als Bug-Bounty-Auszahlung darzustellen und die Hacker – die sich im Oktober 2019 schuldig bekannt hatten, den Verstoß begangen zu haben – dazu zu bringen, eine Geheimhaltungsvereinbarung zu unterzeichnen. Während das FBI deutlich gemacht hat, dass es die Bezahlung von Hackern nicht duldet, haben die US-Strafverfolgungsbehörden im Allgemeinen eine Botschaft gesendet, dass es am wichtigsten ist, benachrichtigt zu werden und in den Prozess der Reaktion auf Sicherheitsverletzungen einbezogen zu werden. Sogar das Finanzministerium hat gesagt, dass es sein kann flexibler und nachsichtiger bei Zahlungen an sanktionierte Einrichtungen wenn Opfer die Regierung benachrichtigen und mit den Strafverfolgungsbehörden zusammenarbeiten. In einigen Fällen, wie beim Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021, konnten Beamte, die mit den Opfern zusammenarbeiten, Zahlungen nachverfolgen und versuchen, das Geld zurückzuerhalten.
„Dies ist diejenige, die mir am meisten Sorgen bereitet, weil die Bezahlung eines Ransomware-Angreifers in der Öffentlichkeit als kriminelles Fehlverhalten angesehen werden könnte, und das könnte dann im Laufe der Zeit zu einer Art Standardstandard werden“, sagt Tuma. „Andererseits ermutigt das FBI die Leute nachdrücklich, diese Vorfälle zu melden, und ich habe nie negative Erfahrungen mit der persönlichen Zusammenarbeit mit ihnen gemacht. Es gibt einen Unterschied zwischen der Zahlung an die Bösewichte, um ihre Zusammenarbeit zu erkaufen, und der Aussage: “Wir werden versuchen, es wie eine Bug-Prämie aussehen zu lassen, und Sie eine NDA unterschreiben lassen, die falsch ist.” Wenn Sie verpflichtet sind, die FTC zu ergänzen, könnten Sie ihnen relevante Informationen geben, die Gesetze zur Meldung von Verstößen einhalten und Ihre Lecks nehmen.“
Tuma und Vance stellen jedoch beide fest, dass sich das Klima in den USA für den Umgang mit Datenerpressungssituationen und die Zusammenarbeit mit den Strafverfolgungsbehörden bei Ransomware-Ermittlungen seit 2016 erheblich verändert hat. Für Führungskräfte, die mit dem Schutz des Rufs und der Überlebensfähigkeit ihres Unternehmens beauftragt sind – zusätzlich zur Verteidigung Benutzer – die Antwortmöglichkeiten waren vor einigen Jahren viel düsterer als heute. Und das könnte genau der Sinn der Bemühungen des Justizministeriums sein, Sullivan strafrechtlich zu verfolgen.
„Technologieunternehmen im Northern District of California sammeln und speichern riesige Datenmengen von Benutzern. Wir erwarten von diesen Unternehmen, dass sie diese Daten schützen und Kunden und zuständige Behörden benachrichtigen, wenn solche Daten von Hackern gestohlen werden“, sagte US-Anwältin Stephanie Hinds am Mittwoch in einer Erklärung zu der Verurteilung. „Sullivan hat entschieden daran gearbeitet, die Datenschutzverletzung vor der Federal Trade Commission zu verbergen, und Maßnahmen ergriffen, um zu verhindern, dass die Hacker erwischt werden. Wenn ein solches Verhalten gegen das Bundesgesetz verstößt, wird es strafrechtlich verfolgt.“
Sullivan muss noch verurteilt werden – ein weiteres Kapitel in der Saga, das Sicherheitsverantwortliche zweifellos sehr genau beobachten werden.