.
“Este é um caso único porque havia uma investigação em andamento da FTC”, diz Shawn Tuma, sócio do escritório de advocacia Spencer Fane, especializado em questões de segurança cibernética e privacidade de dados. “Ele tinha acabado de prestar depoimento juramentado e certamente tinha o dever de complementar e fornecer informações relevantes à FTC. É assim que funciona.”
Tuma, que frequentemente trabalha com empresas que respondem a violações de dados, diz que a condenação mais preocupante em termos de precedentes futuros é a detenção por crime de responsabilidade. Embora a acusação tenha sido aparentemente motivada principalmente pela falha de Sullivan em notificar a FTC sobre a violação de 2016 durante a investigação da agência, a acusação de detenção pode criar uma percepção pública de que nunca é legal ou aceitável pagar agentes de ransomware ou hackers que tentam extorquir pagamento para manter dados roubados privados.
“Essas situações são altamente carregadas e as OSCs estão sob imensa pressão”, diz Vance. “O que Sullivan fez parece ter conseguido impedir que os dados fossem divulgados, então, em suas mentes, eles conseguiram proteger os dados do usuário. Mas eu pessoalmente teria feito isso? Espero que não.”
Sullivan disse O jornal New York Times em uma declaração de 2018, “Fiquei surpreso e desapontado quando aqueles que queriam retratar o Uber de forma negativa rapidamente sugeriram que isso era um encobrimento”.
Os fatos do caso são um tanto específicos no sentido de que Sullivan não apenas levou o Uber a pagar os criminosos. Seu plano também envolvia apresentar a transação como um pagamento de recompensa por bugs e fazer com que os hackers – que se declararam culpados de perpetrar a violação em outubro de 2019 – assinassem um NDA. Embora o FBI tenha deixado claro que não tolera o pagamento de hackers, a polícia dos EUA geralmente enviou uma mensagem de que o que mais valoriza é ser notificado e levado ao processo de resposta à violação. Até o Departamento do Tesouro disse que pode ser mais flexível e tolerante com os pagamentos a entidades sancionadas se as vítimas notificarem o governo e cooperarem com as autoridades. Em alguns casos, como no ataque de ransomware Colonial Pipeline de 2021, os funcionários que trabalham com as vítimas conseguiram rastrear pagamentos e tentar recuperar o dinheiro.
“Este é o que mais me preocupa, porque pagar um invasor de ransomware pode ser visto em público como delito criminal e, com o tempo, pode se tornar uma espécie de padrão padrão”, diz Tuma. “Por outro lado, o FBI incentiva muito as pessoas a relatarem esses incidentes, e nunca tive uma experiência adversa ao trabalhar com eles pessoalmente. Há uma diferença entre fazer esse pagamento aos bandidos para comprar sua cooperação e dizer: ‘Vamos tentar fazer com que pareça uma recompensa por bugs e fazer com que você assine um NDA que seja falso’. Se você tem o dever de complementar a FTC, pode fornecer a eles informações relevantes, cumprir as leis de notificação de violação e tomar suas decisões.”
Tuma e Vance observam, no entanto, que o clima nos EUA para lidar com situações de extorsão de dados e trabalhar com a aplicação da lei em investigações de ransomware evoluiu significativamente desde 2016. Para executivos encarregados de proteger a reputação e a viabilidade de sua empresa, além de defender usuários — as opções de como responder alguns anos atrás eram muito mais obscuras do que são agora. E este pode ser exatamente o ponto do esforço do Departamento de Justiça para processar Sullivan.
“As empresas de tecnologia do Distrito Norte da Califórnia coletam e armazenam grandes quantidades de dados dos usuários. Esperamos que essas empresas protejam esses dados e alertem os clientes e as autoridades competentes quando esses dados forem roubados por hackers”, disse a advogada americana Stephanie Hinds em comunicado sobre a condenação na quarta-feira. “Sullivan trabalhou afirmativamente para esconder a violação de dados da Comissão Federal de Comércio e tomou medidas para evitar que os hackers fossem pegos. Onde tal conduta violar a lei federal, será processada”.
Sullivan ainda não foi sentenciado – outro capítulo da saga que os executivos de segurança, sem dúvida, estarão acompanhando de perto.
.
