Uber案件审判的影响及CISO的未来

关键要点

• 前Uber首席安全官Joe Sullivan被判有罪，引发Cyber社区的广泛关注。
• 担任网络安全职责的人无法独自承担所有责任，团队合作不可或缺。
• 企业必须制定清晰的响应计划，确保在数据泄露事件中妥善处理。
• CISO需要得到高管团队的支持和法律团队的合作，以有效应对网络安全挑战。

近期，前Uber首席安全官的陪审团定罪引起了广泛讨论，但其深远影响尚未完全向公众说明。网络安全社区清楚数据泄露意味着什么，以及如何应对和恢复。然而，我们必须关注案件的意图、方法及结果，简单的有罪判决不足以公正反映事实。

确实，法律要求的“披露”原则被违反，因此作出有罪判决显得简单。然而，理解和解释事件的背景，例如数据泄露带来的痛苦、客户信息的损失、管理层的压力、公众舆论的批评、政府机构的压力和后续恢复的过程，也是至关重要的。

对于这种情况而言，将责任完全压在某个个人——信息安全首席官（CISO）身上是不公平的，且这样的判决将可能对整个网络安全社区产生不良的示范效应，特别是在CISO面临压力时。黑客才是真正的罪犯，我们应团结起来对抗他们，而不是转而指责我们自己的安全团队。我并不评判这起个案，而是希望在这种“替罪羊”的先例形成之前提出个人意见。

那么，应该改变什么呢？

首先，各公司董事会和高管团队必须制定明确的参与计划，描述公司在面临不可避免的数据泄露事件时该如何应对和准备。应负责制定该计划，并确保得到法律部门等高管团队的批准。其次，公司必须明确与安全风险相关的标准和阈值，没有这些标准，计划将无效。

一种标准的例子是：客户私人数据的丢失。在此方面，我们需要明确阈值，即丢失/被盗的客户数据数量及其包含的个人身份信息（PII）。我们必须尽可能具体，以确保我们执行的标准化计划不留模糊空间，从而避免产生可疑的决策和行动。

在发生泄露事件后，基于新信息而添加新维度/阈值是合理的。如果标准得到明确规定，我们必须理解并记录组织在何时向政府机构（如FBI和FTC）和公众披露什么信息。这种行为和行动的规范将形成一个强有力的CISO响应计划，帮助公司及个人（在大多数情况下是CISO）保护自身。

促进CISO与高管团队之间的协作

CISO是高管团队的重要一员，直接对应董事会。他们肩负着沉重的责任，公司必须通过最佳的公司/法律建议、预算、员工配置以及全体高管，尤其是CEO的全力支持来保护他们。法律团队与CISO之间形成必要的合作关系是至关重要的。否则，我们让CISO承担在网络安全领域这个高风险职位的风险，却没有提供必需的支持。

Uber案件的影响

关于Uber案件，公众仍有许多未解之谜。其主要错误在于向公众和政府机构隐瞒了数据泄露事件，甚至可能存在向黑客支付赎金的行为。然而，在事件处理动作的幕后、领导团队的讨论以及为何未能做出必要披露的原因方面，大部分仍未得到充分解释。

那么，为什么一个拥有所有资源的高知名度团队会故意违反法律要求呢？这正是网络安全领域，尤其是CISO所承受的压力。我们不能每次都将焦点放在CISO身上，而是应该检视CISO及其团队是否得到了必要的资源，以便能负责任地和有效地操作。然而，我担心这一案件将会使CISO及其团队的操作变得更加困难，使他们对大动作感到谨慎和防御，从而让对手更容易