监察局的警告：前Uber安全官员被判有罪，CISO应警惕

关键要点

• 昨日，前Uber首席安全官Joe Sullivan因误导监管机构而被判有罪；
• 此案件提醒CISO务必如实通报数据泄露事件；
• 对CISO和企业高管而言，误导监管机构是严重罪行；
• CISO面临来自新攻击方式和法规义务的巨大压力；
• 此案件可能影响CISO的个人责任感和职业选择。

在日前的一次陪审团裁决中，前Uber首席安全官JoeSullivan因误导监管机构关于2016年数据泄露事件而被判有罪，这一事件向所有首席信息安全官（CISO）发出了明确的信号：必须如实向联邦和州监管机构报告数据泄露。

总而言之，误导联邦或州监管机构从来都不是一个明智的选择。

“CISO绝不能妨碍或误导调查，毫无例外，”Lowenstein Sandler LLP的技术组和白领犯罪辩护实践的合伙人KathleenMcGee表示。“这是不变的规则。”

McGee提到，作为一名前司法部律师（Sullivan曾在拉斯维加斯和加利福尼亚北区担任助理美国检察官），Sullivan应该清楚自己的法律义务。他因未向联邦贸易委员会披露数据泄露事件而被判妨碍司法并积极掩盖重罪。

“传统上，CISO负责确保准确的信息能够正确传达给企业高管和监管机构。在这个案件中，CISO同时也是前司法部律师，这无疑提升了他对法律责任的理解，无论他当时是否在执业，”McGee说。她还补充道：“Sullivan应该清楚有义务继续向联邦监管机构和州检察长报告这一额外事件，并能够准确评估误导当局的风险。”

McGee还指出，关于昨日裁决将如何影响CISO的关注可能有些偏离主题：她认为CISO和企业高管需认识到监管机构对数据安全的重视，但“一般来说，试图误导或隐瞒信息向监管机构或执法机关是严重犯罪行为。”

Aware的首席法律官兼数据保护官Brian Mannion指出，Uber案件的刑事性质将经常被提及，作为CISO遵守数据泄露报告法的理由。

“Mannion表示：“CISO面临着来自新攻击方式和新法规义务的巨大压力。他们必须让恶意行为者更难以访问公司数据，并在发生访问后迅速找出、阻止并确定受到影响的数据。这个案件只会成为CISO面临的更大压力点，迫使他们满足这些艰难的期望。”

尽管CISO在数据泄露事件中承担最终责任，但一些安全高管表示对Sullivan表示同情。

Digital Shadows的首席信息安全官RickHolland表示，CISO的工作本来就充满挑战，此案进一步提升了他所称的“CISO替罪羊”的风险。他提出了以下几个问题：Sullivan的判决将如何影响愿意承担CISO角色潜在个人责任的领导人数？我们能否看到更多像Twitter那样的举报案件？

“我预计将会看到更多CISO在就业合同中谈判增加董事和高管保险，这提供了对CISO可能采取的决定和行动的个人责任保障，”Holland说。“此外，和经历了萨班斯法案和安然丑闻后，CEO和CFO都因腐败而被追责一样，在入侵和泄露事件中，CISO不应是唯一被追责的角色。”

Netskope的CISO NeilThacker表示，国际CISO社区一直在密切关注这一案件，并在思考其尽管在同行中，对于Sullivan的错误判断没有太多疑问，但他说“事后诸葛亮真是不错”，公众可能永远无法完全理解导致他做出决定的复杂因素和影响。

“CISO社区内最大的担忧之一是，可能有其他内部权威对CISO施加的压力，促使他做出这些决定，”Thacker说。“我们不会立刻知道全面后果，但我预计会看到许多CISO