คำตัดสินของศาลยุติคดีอันน่าสยดสยองที่ทำให้ซัลลิแวน ผู้เชี่ยวชาญด้านความปลอดภัยที่โดดเด่นซึ่งเป็นอัยการต้นของอาชญากรรมไซเบอร์ในสำนักงานอัยการในซานฟรานซิสโก สหรัฐฯ กับสำนักงานรัฐบาลเก่าของเขา ระหว่างการดำเนินคดีกับแฮกเกอร์และการดำเนินคดี ซัลลิแวนดำรงตำแหน่งผู้บริหารด้านความปลอดภัยระดับสูงของ Facebook, Uber และ Cloudflare
ผู้พิพากษา William H. Orrick ไม่ได้กำหนดวันพิจารณาพิพากษา ซัลลิแวนอาจอุทธรณ์ได้หากคำร้องหลังการพิจารณาคดีล้มเหลวในการเพิกเฉยต่อคำตัดสิน
“นาย. เป้าหมายเพียงอย่างเดียวของซัลลิแวน — ในเหตุการณ์นี้และตลอดอาชีพการทำงานที่โดดเด่นของเขา — ได้รับรองความปลอดภัยของข้อมูลส่วนบุคคลของผู้คนบนอินเทอร์เน็ต” ทนายความของซัลลิแวน David Angeli กล่าวหลังจากคณะลูกขุน 12 คนให้คำตัดสินเป็นเอกฉันท์ในวันที่สี่ของการพิจารณา
แม้จะไม่มีประวัติการทำงานของซัลลิแวน การพิจารณาคดีก็จะถูกจับตามองอย่างใกล้ชิด เนื่องจากคดีอาญาคดีใหญ่คดีแรกเกิดขึ้นกับผู้บริหารองค์กรจากการละเมิดโดยบุคคลภายนอก
นอกจากนี้ยังอาจเป็นหนึ่งในสิ่งสุดท้าย: ในช่วงห้าปีนับตั้งแต่ซัลลิแวนถูกไล่ออก การจ่ายเงินให้กับผู้กรรโชก ซึ่งรวมถึงผู้ที่ขโมยข้อมูลที่มีความละเอียดอ่อน ได้กลายเป็นกิจวัตรที่บริษัทรักษาความปลอดภัยและบริษัทประกันภัยบางแห่งเชี่ยวชาญในการจัดการธุรกรรม
“การจ่ายค่าไถ่ผมคิดว่าเป็นเรื่องธรรมดามากกว่าที่เราเชื่อ มีทัศนคติที่คล้ายกับบังโคลนบังโคลน” ไมเคิล แฮมิลตัน ผู้ก่อตั้งบริษัทรักษาความปลอดภัย Critical Insight กล่าว
ผู้นำเอฟบีไอ แม้จะท้อแท้การปฏิบัติอย่างเป็นทางการ ได้กล่าวว่าพวกเขาจะไม่ไล่ตามผู้คนและบริษัทที่จ่ายค่าไถ่ หากพวกเขาไม่ละเมิดมาตรการคว่ำบาตรที่ห้ามการจ่ายเงินให้กับกลุ่มอาชญากรที่มีชื่อโดยเฉพาะอย่างยิ่งใกล้กับรัฐบาลรัสเซีย
“คดีนี้จะทำให้ผู้บริหาร ผู้เผชิญเหตุ และใครก็ตามที่เกี่ยวข้องกับการตัดสินใจว่าจะจ่ายหรือเปิดเผยเงินค่าไถ่คิดหนักขึ้นเล็กน้อยเกี่ยวกับภาระผูกพันทางกฎหมายของพวกเขา และนั่นก็ไม่ใช่สิ่งเลวร้าย” Brett Callow ผู้วิจัยเกี่ยวกับแรนซัมแวร์ที่บริษัทรักษาความปลอดภัย Emsisoft กล่าว “อย่างที่เป็นอยู่ในเงามืดมากเกินไป และการขาดความโปร่งใสนั้นสามารถบ่อนทำลายความพยายามในการรักษาความปลอดภัยทางไซเบอร์ได้”
ผู้เชี่ยวชาญด้านความปลอดภัยส่วนใหญ่คาดการณ์ว่าซัลลิแวนจะได้รับการปล่อยตัว โดยสังเกตว่าเขาได้แจ้งให้ซีอีโอและคนอื่นๆ ที่ไม่ได้ถูกตั้งข้อหาทราบถึงสิ่งที่เกิดขึ้น
“ความรับผิดส่วนบุคคลสำหรับการตัดสินใจขององค์กรที่มีข้อมูลผู้มีส่วนได้ส่วนเสียจากผู้บริหารเป็นพื้นที่ใหม่ที่ไม่ค่อยมีใครรู้จักสำหรับผู้บริหารด้านความปลอดภัย” Dave Shackleford เจ้าของ Voodoo Security กล่าว “ฉันกลัวว่ามันจะนำไปสู่การขาดความสนใจในสาขาของเรา และเพิ่มความสงสัยเกี่ยวกับ infosec โดยรวมมากขึ้น”
จอห์น จอห์นสัน หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล “เสมือน” ของหลายบริษัทตกลงกัน “ความเป็นผู้นำในบริษัทของคุณสามารถตัดสินใจเลือกที่ส่งผลกระทบส่วนตัวต่อคุณและไลฟ์สไตล์ของคุณได้” เขากล่าว “ไม่ได้พูดว่าทุกอย่างที่ Joe ทำนั้นถูกต้องหรือสมบูรณ์แบบ แต่เราไม่สามารถฝังหัวของเราและพูดว่ามันจะไม่เกิดขึ้นกับเรา”
อัยการโต้แย้งในคดีของซัลลิแวนว่าการใช้ข้อตกลงไม่เปิดเผยข้อมูลกับแฮกเกอร์ของเขาเป็นหลักฐานว่าเขามีส่วนร่วมในการปกปิด พวกเขากล่าวว่าการบุกรุกเป็นแฮ็คที่ตามมาด้วยการกรรโชกเนื่องจากแฮกเกอร์ขู่ว่าจะเผยแพร่ข้อมูลที่พวกเขารับ ดังนั้นจึงไม่ควรมีคุณสมบัติสำหรับโปรแกรม Bug Bounty Bounty ของ Uber เพื่อให้รางวัลแก่นักวิจัยด้านความปลอดภัยที่เป็นมิตร
แต่ความจริงก็คือในขณะที่การแฮ็กของบริษัทต่างๆ แย่ลง วิธีที่บริษัทต่างๆ จัดการกับมันได้ก้าวไปไกลกว่าจดหมายของกฎหมายเมื่อซัลลิแวนถูกกล่าวหาว่าละเมิด
ค่าหัวบั๊กมักต้องการข้อตกลงที่ไม่เปิดเผยข้อมูล ซึ่งบางรายการจะคงอยู่ตลอดไป
“โปรแกรมรางวัลบั๊กกำลังถูกใช้ในทางที่ผิดเพื่อซ่อนข้อมูลช่องโหว่ ในกรณีของ Uber พวกเขาเคยใช้เพื่อปกปิดการละเมิด” Katie Moussouris ผู้ก่อตั้งโครงการ Bug Bounty ที่ Microsoft และตอนนี้เป็นผู้บริหารบริษัทแก้ไขช่องโหว่ของเธอเอง กล่าวในการให้สัมภาษณ์
คดีฟ้องร้อง Sullivan เริ่มต้นขึ้นเมื่อแฮ็กเกอร์ส่งอีเมลถึง Uber โดยไม่เปิดเผยตัวตนและอธิบายถึงช่องโหว่ด้านความปลอดภัยที่ทำให้เขาและหุ้นส่วนสามารถดาวน์โหลดข้อมูลจากที่เก็บ Amazon ของบริษัทแห่งหนึ่งได้ ปรากฏว่าพวกเขาใช้กุญแจดิจิทัลที่ Uber หลงทางเพื่อเข้าถึงบัญชี Amazon ซึ่งพวกเขาพบและดึงข้อมูลสำรองที่ไม่ได้เข้ารหัสของผู้ขับขี่ Uber กว่า 50 ล้านคนและคนขับ 600,000 คน
ทีมของซัลลิแวนนำพวกเขาไปสู่โปรแกรมค่าหัวของ Uber และสังเกตว่าการจ่ายเงินสูงสุดภายใต้โครงการนั้นคือ 10,000 ดอลลาร์ แฮกเกอร์กล่าวว่าพวกเขาต้องการตัวเลขหกตัวและขู่ว่าจะเปิดเผยข้อมูล
การเจรจาที่ยืดเยื้อจึงจบลงด้วยการจ่ายเงิน 100,000 ดอลลาร์และสัญญาจากแฮกเกอร์ว่าพวกเขาได้ทำลายข้อมูลและจะไม่เปิดเผยสิ่งที่พวกเขาทำ แม้จะดูเหมือนเป็นการปกปิด แต่คำให้การแสดงให้เห็นว่าเจ้าหน้าที่ของซัลลิแวนใช้กระบวนการนี้เพื่อหาเบาะแสที่จะนำพวกเขาไปสู่ตัวตนที่แท้จริงของผู้กระทำความผิด ซึ่งพวกเขารู้สึกว่าจำเป็นต้องยกระดับเพื่อให้พวกเขารักษาคำพูด ทั้งสองถูกจับกุมในเวลาต่อมาและสารภาพว่ามีความผิดฐานแฮ็กข้อมูล และอีกคนหนึ่งให้การเป็นพยานในการดำเนินคดีในการพิจารณาคดีของซัลลิแวน
ข้อหาขัดขวางดึงความแข็งแกร่งจากข้อเท็จจริงที่ว่า Uber ในขณะนั้นใกล้จะสิ้นสุดการสอบสวนของคณะกรรมาธิการการค้าแห่งสหพันธรัฐหลังจากการละเมิดครั้งใหญ่ในปี 2557
ข้อหาปกปิดความผิดทางอาญาอย่างแข็งขัน หรือการ misprision อาจนำไปใช้กับหัวหน้าองค์กรหลายคนที่ส่ง bitcoin ไปยังแฮ็กเกอร์ในต่างประเทศโดยไม่บอกใครว่าเกิดอะไรขึ้น แม้ว่าจำนวนการเงียบงันจะเป็นไปไม่ได้ แต่ก็เป็นตัวเลขที่ชัดเจนว่ามีขนาดใหญ่ มิฉะนั้น เจ้าหน้าที่ของรัฐบาลกลางจะไม่กดดันให้ออกกฎหมายล่าสุดที่จะกำหนดให้มีการแจ้งเตือนแรนซัมแวร์จากเหยื่อโครงสร้างพื้นฐานที่สำคัญไปยัง Cybersecurity และ Infrastructure Security Agency
สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์กำลังผลักดันให้มีการเปิดเผยข้อมูลมากกว่านี้ ความเชื่อมั่นดังกล่าวทำให้ผู้นำด้านความปลอดภัยและการปฏิบัติตามกฎระเบียบของบริษัทตกตะลึง และจะให้ความสนใจกับรายละเอียดของกฎเกณฑ์เหล่านั้น
คดีกับซัลลิแวนนั้นอ่อนแอกว่าในด้านอื่น ๆ มากกว่าที่คาดไว้จากการพิจารณาคดีที่มุ่งสร้างแบบอย่าง
ในขณะที่เขากำกับการตอบสนองต่อแฮ็กเกอร์สองคน คนอื่น ๆ อีกหลายคนในบริษัทก็อยู่ในวงเดียวกัน รวมถึงทนายความในทีมของซัลลิแวน เครก คลาร์ก หลักฐานแสดงให้เห็นว่าซัลลิแวนบอก Travis Kalanick ผู้บริหารระดับสูงของ Uber ในเวลาไม่กี่ชั่วโมงหลังจากเรียนรู้เกี่ยวกับภัยคุกคามด้วยตนเอง และ Kalanick อนุมัติกลยุทธ์ของ Sullivan หัวหน้าทนายความด้านความเป็นส่วนตัวของบริษัท ซึ่งดูแลการตอบสนองของ FTC ได้รับแจ้ง และหัวหน้าทีมสื่อสารของบริษัทก็มีรายละเอียดเช่นกัน
คลาร์ก ซึ่งได้รับมอบหมายให้เป็นผู้นำทางกฎหมายเกี่ยวกับการละเมิด ได้รับการยกเว้นจากการให้การเป็นพยานกับอดีตเจ้านายของเขา สอบปากคำ ยอมรับให้คำปรึกษากับทีมงานว่า การโจมตีจะไม่ต้องเปิดเผยหากระบุตัวแฮ็กเกอร์ได้ ตกลงที่จะลบสิ่งที่พวกเขาทำไป และสามารถโน้มน้าวบริษัทได้ว่าพวกเขาไม่ได้เผยแพร่ข้อมูลต่อไป ซึ่งทั้งหมดนี้ในที่สุด ผ่านมา
อัยการถูกปล่อยให้ท้าทาย “ไม่ว่าโจซัลลิแวนจะเชื่อหรือไม่” เนื่องจากหนึ่งในนั้นกล่าวในการโต้แย้งปิดเมื่อวันศุกร์
แองเจลี ทนายความของซัลลิแวนกล่าวว่าโลกแห่งความเป็นจริงมีการทำงานที่แตกต่างจากอุดมคติของแมลงและนโยบายที่กำหนดไว้ในคู่มือของบริษัท
“สุดท้ายแล้ว คุณซัลลิแวนเป็นผู้นำทีมที่ทำงานอย่างไม่รู้จักเหน็ดเหนื่อยเพื่อปกป้องลูกค้าของ Uber” แองเจลีบอกคณะลูกขุน
หลังจากที่ Kalanick ถูกบังคับให้ออกจากบริษัทเนื่องจากเรื่องอื้อฉาวที่ไม่เกี่ยวข้องกัน Dara Khosrowshahi ผู้สืบทอดตำแหน่งของเขาได้เข้ามาและทราบถึงการละเมิดดังกล่าว ซัลลิแวนบรรยายให้เขาเห็นว่าเป็นการจ่ายเงินตามปกติ อัยการกล่าว โดยแก้ไขจากอีเมลฉบับหนึ่งถึงจำนวนเงินที่จ่ายไป และข้อเท็จจริงที่ว่าแฮกเกอร์ได้รับข้อมูลที่ไม่ได้เข้ารหัส รวมถึงหมายเลขโทรศัพท์ของผู้ขับขี่หลายสิบล้านคน หลังจากการสอบสวนในภายหลังได้เปิดเผยเรื่องราวทั้งหมด Khosrowshahi ให้การว่าเขาไล่ Sullivan ออกโดยไม่บอกเขาอีกไม่ช้าก็เร็ว
ด้วยความกระตือรือร้นที่จะแสดงให้เห็นว่ากำลังดำเนินการอยู่ในยุคใหม่ บริษัทได้ช่วยสำนักงานอัยการสหรัฐฯ ในการดำเนินคดีกับซัลลิแวน และอัยการก็กดดันซัลลิแวนอย่างไม่ประสบความสำเร็จให้มีส่วนเกี่ยวข้องกับคาลานิคซึ่งจะเป็นรางวัลที่ใหญ่กว่ามาก แต่ก็ไม่ได้ถูกสาปแช่งด้วยหลักฐานที่เป็นลายลักษณ์อักษรที่รอดตายตามที่ผู้คนคุ้นเคยกับกระบวนการนี้
ค่าหัวแมลงไม่ได้หมายถึงการเสนอเงินให้กับแฮ็กเกอร์มากเท่าที่อาชญากรหรือรัฐบาลจะจ่าย แต่พวกเขาได้รับการออกแบบมาเพื่อให้เงินสดแก่ผู้ที่มีแนวโน้มจะอยู่เหนือคณะกรรมการแทน
แต่บริษัทเหล่านี้เป็นผู้จ่ายบิลแม้ว่าโปรแกรมจะดำเนินการโดยผู้ขายภายนอกเช่น HackerOne และ Bugcrowd ข้อพิพาทระหว่างนักวิจัยที่รายงานช่องโหว่ด้านความปลอดภัยและบริษัทที่มีช่องโหว่นั้นเป็นเรื่องปกติ
ทั้งสองฝ่ายต่างกันว่าจุดบกพร่องนั้น “อยู่ในขอบเขต” หรือไม่ ซึ่งหมายถึงภายในพื้นที่ที่บริษัทกล่าวว่าต้องการความช่วยเหลือ พวกเขาต่างกันว่าแมลงมีมูลค่าเท่าใดหรือไม่มีค่าเพราะคนอื่นพบแล้ว และพวกเขาต่างกันอย่างไรหรือแม้ว่าผู้วิจัยสามารถเปิดเผยงานได้หลังจากแก้ไขข้อผิดพลาดหรือ บริษัท เลือกที่จะไม่เปลี่ยนแปลงอะไรก็ตาม
แพลตฟอร์มการให้เงินรางวัลมีขั้นตอนอนุญาโตตุลาการสำหรับข้อพิพาทเหล่านั้น แต่เนื่องจากบริษัทต่างๆ กำลังดำเนินการตามร่างกฎหมาย แฮ็กเกอร์จำนวนมากจึงมองเห็นอคติ ประท้วงมากเกินไป และพวกเขาถูกไล่ออกจากเวทีโดยสิ้นเชิง
“หากคุณกำลังแฮ็คโปรแกรม Bounty Bounty เนื่องจากรักการแฮ็กและทำให้การรักษาความปลอดภัยดีขึ้น นั่นเป็นเหตุผลที่ผิด เพราะคุณไม่สามารถควบคุมได้ว่าบริษัทจะตัดสินใจแก้ไขในเวลาที่เหมาะสมหรือไม่” John Jackson กล่าว นักวิจัยที่ลดงานเงินรางวัลของเขาและตอนนี้ขายข้อมูลช่องโหว่เมื่อทำได้
Casey Ellis ผู้ก่อตั้ง Bugcrowd ยอมรับว่าบางบริษัทใช้โปรแกรมเงินรางวัลเพื่อปิดปากปัญหาที่ควรเปิดเผยภายใต้กฎของรัฐหรือรัฐบาลกลาง
“นั่นเป็นสิ่งที่เกิดขึ้นอย่างแน่นอน” เอลลิสกล่าว
การโจมตีของแรนซัมแวร์เกิดขึ้นได้ยากเมื่อซัลลิแวนถูกตั้งข้อหา เติบโตขึ้นอย่างมากในช่วงหลายปีถัดมาและกลายเป็นภัยคุกคามต่อความมั่นคงของชาติสหรัฐฯ
เทคนิคในการโจมตีเหล่านั้นก็เปลี่ยนไปเช่นกัน
ในช่วงต้นปี 2020 แรนซัมแวร์ส่วนใหญ่เข้ารหัสไฟล์และเรียกร้องเงินสำหรับคีย์เพื่อปลดล็อก ภายในสิ้นปีนั้น การโจมตีเรียกค่าไถ่ส่วนใหญ่รวมถึงการขโมยไฟล์โดยทันที ตั้งค่าความต้องการเรียกค่าไถ่ครั้งที่สองเพื่อป้องกันการเผยแพร่สู่สาธารณะ ตามรายงานปี 2564 โดย Ransomware Task Force ซึ่งเป็นกลุ่มอุตสาหกรรมที่นำโดยตัวแทนจาก US Cybersecurity and Infrastructure Security Agency, FBI และหน่วยสืบราชการลับ
เมื่อเร็ว ๆ นี้การแลกเปลี่ยนสกุลเงินดิจิตอลถูกปล้นและได้เจรจาเพื่อให้การชำระเงินจำนวนมากเพื่อรับเงินเหล่านั้นกลับคืนมา ซึ่งเป็นวิธีปฏิบัติที่เป็นอิสระซึ่งมีความคล้ายคลึงกับเงินรางวัลแบบเดิมเพียงเล็กน้อย
“โดยเฉพาะอย่างยิ่งในช่วง 6 เดือนที่ผ่านมาในพื้นที่คริปโต โมเดลนี้ ‘สร้างมันขึ้นมาจนกว่าเราจะถูกแฮ็ก และเราจะหามันจากที่นั่น’” Ellis กล่าว
เมื่อการจ่ายเงินเฉลี่ยพุ่งแซงหน้า Sullivan ไปสู่เงินหลายแสนดอลลาร์ ธุรกิจจำนวนมากขึ้นก็หันไปหาบริษัทประกันภัยเพื่อคาดการณ์ได้
แต่บ่อยครั้งที่บริษัทประกันภัยให้เหตุผลว่าการจ่ายเงินนั้นถูกกว่าการชดเชยความเสียหายจากไฟล์ที่สูญหาย บางคนจ่ายเป็นประจำเพื่อให้มั่นใจว่ารายได้ที่มั่นคงสำหรับแก๊งค์
การจ่ายเงินอย่างผิดกฎหมายตามที่บางคนเสนอจะไม่หยุดพวกเขาจริงๆ FBI กล่าว แทนที่จะให้กลุ่มกรรโชกและอีกสโมสรหนึ่งยึดเหยื่อของพวกเขาหลังจากชำระเงินแล้ว
อย่างน้อยจนถึงตอนนี้ สภาคองเกรสได้ตกลงกัน โดยปฏิเสธที่จะห้ามการทำธุรกรรม ซึ่งหมายความว่าข้อตกลงเช่นซัลลิแวนจะเกิดขึ้นทุกสัปดาห์
พวกเขาทั้งหมดจะถูกเปิดเผยเมื่อจำเป็นภายใต้กฎหมายของรัฐหรือพระราชกฤษฎีกาความยินยอมของรัฐบาลกลางหรือไม่? อาจจะไม่.
แต่อย่าคาดหวังให้คนที่ปิดปากเงียบจะลงเอยด้วยการใส่กุญแจมือ
