CSO“入狱指南” | Uber前CSO被判八年带来的启示

作为CSO，如何带领安全团队建设企业安全、危机管理、安全运营，如何避免被“逮捕”？

在Uber前首席安全官约瑟夫·沙利文（Joseph Sullivan）被判八年后，CSO们会人人自危吗？

2022年10月，美国联邦法院陪审团对Uber前首席安全官约瑟夫·沙利文一案作出裁定——沙利文曾试图向美国联邦贸易委员会（FTC）隐瞒Uber在2016年的数据泄露事件。据悉，沙利文被裁定为妨碍司法公正罪和隐瞒罪行罪，可能面临最高5年和最高3年的监禁。

虽然不少人对于沙利文可能会遭受牢狱之灾早有预感，但当判决正式落地时，依旧引起了诸多业界人士的关注和讨论。从公开的信息来看，这是美国首例因“支付网络安全赎金”导致企业CSO被公开起诉、宣判的案件。但可以肯定的是，Uber绝不是第一家以“漏洞赏金计划”来掩盖数据泄露问题的企业。

对于CSO来说，一边是掩盖企业数据泄露丑闻，一边是被发现后被判入狱，究竟该如何选择，未来是否将会战战兢兢，如履薄冰？许多法律和安全专家表示，“大可不必”。

企业遭遇勒索事件不算少数，而首席安全官被追责、判刑的情况比较罕见，普遍的情况是首席安全官引咎辞职。密码学家乔恩·卡拉斯（Jon Callas）曾经调侃，CISO的全称是首席入侵替罪羊官（Chief Intrusion Scapegoat Officer），“CSO经常处于一个无法成功的位置，他们负责一切安全事务，却又无能为力，因为他们知道应该做什么来降低风险，但得不到足够支持。”

在这种困境下，几乎90%的首席信息安全管认为自己处于中度或高度压力之下，许多人经常换工作。根据 Heidrick & Struggles 2022 年全球调查，近四分之一的 CSO 任职不到两年，62% 的首席信息安全官任职不到一年。

安全专家建议，首席信息安全官最好在内部发起和维护事件响应手册，涵盖组织技术响应、详细说明与业务操作和流程的协调、危机管理和法律应对。手册有助于企业的安全团队和法律团队按照政策和程序共同应对安全事件，确保该做什么、什么时候做。如果安全事件应对不当，与相应手册背道而驰，则它很可能成为一份“入狱指南”。

Uber遭遇勒索攻击

10月8日，Uber前安全主管约瑟夫·沙利文因涉嫌参与掩盖2016年黑客针对Uber公司的安全攻击，被美国联邦法院以妨碍司法罪和故意隐瞒重罪分别判处五年监禁和三年监禁。

约瑟夫·沙利文于2015年4月至2017年11月在Uber担任首席安全官。2016年，Uber收到一封匿名邮件，邮件称发现了Uber的安全漏洞，能利用其数字密钥进入公司的亚马逊数据库，查看并提取5700万Uber乘客和司机的未加密备份数据。

沙利文和团队收到邮件后和黑客沟通，打算以Uber漏洞赏金计划的形式向黑客支付最高一万美元的报酬，作为交换条件，黑客需删除相关数据。但双方未能达成一致，黑客要求报酬不低于六位数，并威胁公开相关数据。在后续的长期沟通下，双方以10万美元的价格达成交易，沙利文要求对方销毁盗取的数据，且对该行为保密。

但事与愿违，这起事件最终还是被曝光，涉事的两名黑客被逮捕并供出了该事件。在联邦贸易委员会（FTC）对Uber调查时，沙利文将该事件伪装成漏洞赏金，向委员会提供虚假宣誓证词，谎称对方没有窃取数据。2020年9月，沙利文被起诉，基于上述表现，陪审团认定他妨碍司法罪和故意隐瞒最成立。

据了解，FTC在2014年Uber违规事件（10万名司机的姓名和车牌数据泄露）发生后一直在密切关注这家公司的数据安全性。2018年9月，Uber支付了1.48亿美元来解决美国所有50个州和华盛顿特区的索赔，即披露黑客攻击的速度太慢。

但面对越来越多的黑客攻击，企业开始自顾不暇。加密货币的出现愈加方便勒索软件攻击者行凶，由于加密货币自身的隐匿特性，对货币资金去向进行加密，使得收款者身份得以保密，大大降低了被溯源追踪的风险，所以近些年勒索软件运营者倾向于使用加密货币交易。

安全公司 SonicWall 11月初发布了《 2022 年网络威胁报告》，勒索攻击在经历连续两年的增长后终于来到拐点开始下降，2022 年上半年共报告了 2.361 亿次勒索软件攻击，同比下降23%，但 2022 年上半年的数量仍然高于 2017 年、2018 年和 2019 年各年的全年总数。

在全球发生的勒索攻击中，医疗保健行业最易受到勒索软件攻击，每 42 个企业中就有一个受到勒索软件的影响，同比增长5%。

支付赎金还是报案披露？

安全公司CyberEdge Group针对全球1000家企业进行的一项调查研究发现，在遭受勒索攻击的企业中，大约有40%的公司支付了赎金，但在这支付赎金的公司中，仅有一半左右的公司最终拿回了自己的数据。

那么，当勒索攻击发生后，是选择支付赎金还是报案？从数据来看，支付赎金的企业，经济损失反而可能更大。IBM发布的《2022数据泄露成本报告》显示，发生数据泄露事件时，选择支付勒索软件赎金的企业只比拒付赎金企业的平均成本少 61 万美元，但这其中并未将赎金成本考虑进去，如果将高昂的赎金（Sophos数据显示，2021 年平均赎金高达 81.2 万美元）纳入成本考量，交付赎金的受害企业其经济损失可能会更大。更何况，支付赎金后，威胁者不一定会解密数据，也不一定会删除所盗取的数据，甚至有可能进行二次勒索，业内称为双重勒索。

其次，支付赎金还有可能面临制裁风险。美国财政部外国资产控制办公室(OFAC)10月1日发布一项建议《Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments》，警告向勒索攻击者支付赎金可能面临制裁和处罚风险，因为许多勒索组织位列美国的制裁名单，支付赎金被视为对勒索组织的潜在经济支持。

在国内，自2018年起，公安机关在“净网2018”专项行动中针对各种网络乱象开始实行“一案双查”制度，即在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。

由于报案后会“一案双查”，许多企业倾向于不披露网络攻击事件。但《网络安全法》第25条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。 所以法条并不提倡支付赎金，反而应急预案是企业应该重视的环节。

CSO应该如何避免被“逮捕”

作为CSO，如何带领安全团队建设企业安全、危机管理、安全运营，如何避免被“逮捕”？首先，前置条件就是深入理解业务，作为企业安全建设带头人，应该对所在企业的业务有深入了解，了解企业核心业务架构、业务流程、业务技术团队等。了解上述信息有助于建设更贴合业务的企业安全体系。

其次是安全风险管理，传统的风险管理主要参考ISO13335、COSO-ERM等标准体系，这些体系成熟、复用性强，但对于高速发展的互联网企业来说，容易出现风险评估结果和实际状况出入较大，与业务场景契合度低等情况。对于CSO来说，安全风险管理可以吸取成熟标准体系的长处，再结合实际业务部署风险管理方案，识别业务风险场景，分解技术方案、落地安全实践。

再者是安全运营，很多情况下勒索攻击或者供应链攻击等引起严重后果的安全事件，都是因为信息系统存在漏洞或后门，这时安全运营的重要性愈发凸显。做好安全运营，从源头上减少企业面临勒索的几率。安全运营的两个重要衡量指标MTTD（平均检测时间）和MTTR（平均响应时间），能够反映安全团队的感知发现能力和管控处置能力，做好安全运营也是CSO工作的一大重点。

CSO能力要素雷达图

其实，要成为优秀的CSO需要具备很多能力，成为“全能型”选手。但现实中大家各有所长，能力并未达到面面俱到的程度，那么CSO可以从全局着手，协调各方资源识人善用，结合业务拿出最适合企业的安全建设方案，保护企业远离安全风险。