サイバーセキュリティとデータプライバシーの問題を専門とする法律事務所Spencer FaneのパートナーであるShawn Tumaは、次のように述べています。 「彼は宣誓証言をしたばかりで、FTCに関連情報をさらに補足して提供する義務を負っていたことは間違いありません。 そういう仕組みです。」
データ侵害に対応する企業と頻繁に協力している Tuma 氏は、将来の判例に関してより懸念される有罪判決は、重罪の冤罪であると述べています。 起訴は主にサリバンが FTC の調査中に 2016 年の情報漏えいを FTC に通知しなかったことに動機付けられたように見えますが、不正請求により、ランサムウェア アクターやハッカーが支払いを強要して維持することは決して合法ではない、または受け入れられないという一般的な認識が生まれる可能性があります。盗まれたデータは非公開です。
「これらの状況は非常に負担が大きく、CSO は計り知れないプレッシャーにさらされています」と Vance 氏は言います。 「サリバンがしたことは、データの流出を防ぐことに成功したように見えるので、彼らの心の中では、ユーザー データを保護することに成功しました。 しかし、私は個人的にそれをしたでしょうか? そうでないことを願っています。
サリバン 言った ニューヨークタイムズ 2018 年の声明では、「Uber を否定的な見方で描写したいと考えていた人々が、これが隠蔽工作であるとすぐに示唆したとき、私は驚き、失望しました。」
この事件の事実は、Sullivan が単に Uber に犯罪者に支払いをさせたのではないという意味で、いくぶん具体的です。 彼の計画には、トランザクションをバグ報奨金の支払いとして提示し、2019 年 10 月に違反を犯したことで有罪を認めたハッカーに NDA に署名させることも含まれていました。 FBI はハッカーへの支払いを容認していないことを明確にしていますが、米国の法執行機関は一般的に、FBI が最も重視するのは通知され、違反対応のプロセスに持ち込まれるというメッセージを送信しています. 財務省でさえ、それは可能だと言っています 認可された事業体への支払いについて、より柔軟かつ寛大に 被害者が政府に通知し、法執行機関に協力する場合。 場合によっては、2021 年の Colonial Pipeline ランサムウェア攻撃のように、被害者と協力している当局者が支払いを追跡し、お金の回収を試みることができました。
「これは私が最も懸念しているものです。なぜなら、ランサムウェア攻撃者に金銭を支払うことは犯罪行為として公に見なされる可能性があり、やがてそれが一種のデフォルトの標準になる可能性があるからです」と Tuma 氏は言います。 「一方で、FBI は人々がこれらの事件を報告することを強く奨励しており、私は彼らと個人的に仕事をして悪い経験をしたことはありません. 協力を得るために悪者に支払いをすることと、「バグ報奨金のように見せかけ、虚偽の NDA に署名してもらうようにします」と言うのとには違いがあります。 FTC に補足する義務がある場合は、FTC に関連情報を提供し、違反通知法を遵守し、なめることもできます。」
ただし、Tuma と Vance はどちらも、データ強要の状況に対処し、ランサムウェアの調査で法執行機関と協力する米国の環境は、2016 年以降大幅に進化したと指摘しています。数年前の対応方法の選択肢は、現在よりもはるかに曖昧でした。 そしてこれこそが、サリバンを起訴しようとする司法省の努力の要点なのかもしれません。
「カリフォルニア北部地区のテクノロジー企業は、ユーザーから膨大な量のデータを収集して保管しています。 これらの企業がそのデータを保護し、そのようなデータがハッカーによって盗まれた場合、顧客と適切な当局に警告することを期待しています」とステファニー・ハインズ連邦検事は水曜日の有罪判決に関する声明で述べた. 「サリバンは積極的に連邦取引委員会からデータ侵害を隠蔽し、ハッカーが捕まるのを防ぐための措置を講じました。 そのような行為が連邦法に違反する場合、起訴されます。」
Sullivan はまだ判決を受けていません。これは、セキュリティ担当者が間違いなく非常に注意深く見守る、物語の別の章です。