როგორ არ უნდა მოიქცეს უსაფრთხოების ოფიცერი – Uber-ის მაგალითი

პერსონალურ მონაცემთა დაცვა დიდი ხანია განხილვის საგანია, თუმცა განსაკუთრებით აქტუალური ბოლო წლებში გახდა, რასაც მნიშვნელოვნად შეუწყო ხელი GDPR-ის ამოქმედებამ. პერსონალურ მონაცემთა უსაფრთხოების დარღვევისთვის სხვადასხვა დიდ კომპანიას დაეკისრა არაერთი მრავალმილიონიანი ჯარიმის გადახდა. ამაზე ბევრი დაწერილა, ის შემთხვევა კი რაც ამ სტატიაში უნდა გიამბოთ, მონაცემთა გაჟონვის შემდეგ უსაფრთხოების ოფიცრის ქცევას შეეხება და თავისი არსით უნიკალური და ერთადერთია ამ სფეროში.

როგორც აღმოჩნდა, შეტევის შემდგომ არასწორი ქცევის მიზეზით უსაფრთხოების ოფიცერი სამსახურიდან გათავისუფლებასთან ერთად პასუხისგებაშიც შეიძლება მისცენ.

მოგეხსენებათ, ინფორმაციული უსაფრთხოება და მასთან დაკავშირებული საკითხები შესაბამისი ორგანიზაციული პოლიტიკებით იმართება. ორგანიზაციისთვის საჭირო სწორი პოლიტიკების შექმნა, მათში უსაფრთხოების პრინციპების ჩაწერა და ამ პრინციპების პრაქტიკულად გატარება ის ფუნდამენტია, რომელიც კომპანიის სწორ განვითარებას უწყობს ხელს და აცილებს გართულებებს როგორც კანონთან, ისე მომხმარებელთან (რეპუტაციული თვალსაზრისით).

ჯოზეფ სულივანი 2017 წლის ნოემბრამდე Uber-ის უსაფრთხოების უფროსი ოფიცერი იყო. ახლახანს მას ბრალი წარუდგინეს აშშ-ს ფედერალურ სასამართლოში და ედავებიან როგორც კანონის მოთხოვნებისთვის გვერდის ავლას, ისე დანაშაულის შესახებ ინფორმაციის დამალვასა და შეტევის შესახებ კვალის წაშლის მცდელობას.

საქმე ეხება 2016 წლის შეტევას, როდესაც ჰაკერებმა მოახერხეს Uber-ის მომხმარებელთა პერსონალური მონაცემების შემცველი 57 მილიონიანი ბაზის მოპარვა და მასთან ერთად წაიღეს 600 000 მძღოლის მართვის მოწმობის ასლები და სხვა პერსონალური ინფორმაცია.

ორმა ჰაკერმა იმეილით შეატყობინა სულივანს კომპანიის ბაზაზე წვდომის მოპოვებისა და ინფორმაციის ჩამოტვირთვის შესახებ, სიჩუმის სანაცვლოდ კი ექვსნიშნა თანხა მოითხოვა. იმის მაგივრად, რომ უსაფრთხოების ოფიცერს აღნიშნულის შესახებ შეეტყობინებინა ვაჭრობის ფედერალური კომისიისთვის, მან შეტევის შესახებ დამალვა და კვალის წაშლა სცადა.

აღსანიშნავია, რომ ამ დროს ვაჭრობის ფედერალური კომისია Uber-ზე 2014 წლის სექტემბერში განხორციელებულ შეტევას სწავლობდა. ფედერალურმა კომისიამ კომპანიისგან კითხვებზე წერილობითი პასუხები და პასუხისმგებელი ოფიცერი მოითხოვა, რომელიც ფიცის ქვეშ მისცემდა ჩვენებას შეტევასთან დაკავშირებულ სხვადასხვა საკითხზე. Uber-მა ეს საქმე სულივანს ჩააბარა და სწორედ ის ასრულებდა პასუხების გაცემაში მთავარ როლს. ჩვენების მიცემიდან სულ რაღაც 10 დღეში, 2016 წლის 14 ნოემბერს სულივანს ჰაკერები დაუკავშირდნენ და ბაზის მოპარვის შესახებ ამცნეს.

სულივანმა გადაწყვიტა აღნიშნულის შესახებ დაემალა და მიიღო შესაბამისი ზომები. მოგეხსენებათ, დიდი კომპანიების უმეტესობას ე.წ. Bug Bounty პროგრამები აქვთ სადაც უსაფრთხოების სპეციალისტებს სისუსტეების აღმოჩენისთვის გარკვეულ თანხებს ურიცხავენ. კვალის არევის მიზნით სწორედ ამ „გამოსავალს“ მიმართა სულივანმა და ჰაკერებს, რომლებმაც სახელებიც კი არ გაამხილეს 100 000$ გადაურიცხა ბიტკოინის სახით როგორც Bug Bounty-ს თანხა. ამასთან სულივანმა ჰაკერებს NDA-სთვის მოაწერინა ხელი, სადაც ჩაწერილი იყო, რომ ჰაკერებს არ მოუპარავთ ინფორმაცია. ბუნებრივია ეს ტყუილი იყო, რადგან ორივე მხარემ კარგად იცოდა ინფორმაციის მოპარვის შესახებ.

მოგვიანებით, Uber-ის უსაფრთხოების გუნდმა მოახერხა ჰაკერების ნამდვილი ვინაობის დადგენა და მათ კიდევ ერთხელ მოაწერინეს ხელი NDA-ზე, ამჯერად უკვე ნადვილი სახელებით. ცნობისთვის, სულივანის ადვოკატი თანხის გადარიცხვის მიზეზად სწორედ ჰაკერების ნამდვილი ვინაობის დადგენას ასახელებს, მაგრამ ეს მტკიცება, ვერ ამართლებს ბრალდებულს, რადგან ამის შესახებ არაფერი აცნობეს არც მენეჯმენტს და არც ფედერალურ კომისიას.

გარდა ამისა, როდესაც მმართველი გუნდი შეიცვალა და ახალი CEO მოვიდა კომპანიის სათავეში (2017 წლის სექტემბერში), სულივანს შეტევის შესახებ კრიტიკული დეტალები არ გაუმხელია. უფრო მეტიც, მისი გუნდის მიერ მომზადებული რეპორტიდან ამოიღო უაღრესად მნიშვნელოვანი დეტალები, კონკრეტულად ჰაკერების მიერ ინფორმაციის მოპარვისა და მათი იდენტიფიცირების გარეშე თანხის გადარიცხვის შესახებ. მიუხედავად ამისა, ახალი მმართველი გუნდისთვის აღნიშნული დეტალები მაინც გახდა ცნობილი 2017 წლის ნოემბერში, რასაც სულივანის სამსახურიდან გათავისუფლება მოჰყვა. (ცნობისთვის სულივანი მანამდე Facebook-ში მუშაობდა უსაფრთხოების ოფიცრად, ახლა კი Cloudflare-ს ინფორმაციული უსაფრთხოების უფროსი ოფიცერია).

აქვე შევნიშნავთ, რომ ორივე ჰაკერი პასუხისგებაში მისცეს 2019 წლის 30 ოქტომბერს, თუმცა მანამდე ისინი სხვა კომპანიებში შეღწევასა და ინფორმაციის მოპარვას განაგრძობდნენ. სარჩელში აღნიშნულია, სულივანს მიერ სწორი მოქმედებისა და შესაბამისი ორგანოებისთვის დროული შეეტყობინებიის შემთხვევაში, ჰაკერები ვერ შეძლებდნენ სხვა კომპანიებიდან ინფორმაციის მოპარვას.

აღნიშნული შემთხვევა ერთადერთია ჯერჯერობით, თუმცა ინტერესს იწვევს ის ფაქტი, რომ Bug Bounty-ს პროგრამა გამოყენებული იყო თანხის კიბერ კრიმინალებისთვის გადასახდელად. აქ იბადება კითხვა, იქცევიან თუ არ ამსგავსად სხვა კომპანიები? ამ კითხვაზე ზუსტი პასუხი ჯერჯერობით არ არსებობს.

აღსანიშნავია, რომ ზოგიერთი კომპანია გამომძალველი ვირუსისგან (ransomware) თავის დასაღწევად ასევე უხდის ჰაკერებს თანხებს, თუმცა ინფორმაციის გაჟონვის შემთხვევაში ისინიც ვალდებულები არიან შეტევის შესახებ შეატყობინონ შესაბამის უწყებებს.

Uber-ის შემთხვევა კომპანიაში არსებული პოლიტიკებისა და პრინციპების შესახებ გარკვეულ ინტერესს იწვევს, კონკრეტულად კი უფლებამოსილებების გამიჯვნის პრინციპის (separation of duties) საკითხი. ინფორმაციული უსაფრთხოება და ტექნიკური მხარდაჭერა (IT) როგორც წესი გამიჯნული უნდა იყოს და ალბათ Uber-შიც ასეა. შეტევის შესახებ ინფორმაციის მიღების შემდეგ, სისუსტის გამოსწორებისთვის აშკარაა, რომ IT პერსონალის ჩარევა გახდებოდა საჭირო და ლოგიკურია, რომ ისინი ჩაერივნენ კიდეც, მაგრამ Bug Bounty-ს სისტემის გამოყენების დროს ეს მათ ალბათ ჩვეულებრივ ამბად მიიღეს. სწორედ ამიტომ, იკვეთება რომ Bug Bounty სისტემაზე უფლებამოსილებების გამიჯვნის საკითხი ცალკე უნდა დადგეს უსაფრთხოების პოლიტიკებში, რაც უბერის შემთხვევაში როგორც ჩანს არ ყოფილა და აღნიშნული სხვა კომპანიებმაც უნდა გაითვალისწინონ.