Seis incidentes de segurança que custaram aos CISO os seus empregos

Independentemente dos executivos de segurança perderem os seus empregos após um grande incidente, a falha na segurança deve ser vista como uma aprendizagem.

Por Dan Swinhoe

Os CISO podem deixar o seu emprego por vários motivos, mas uma violação ou outro incidente de segurança geralmente acelera a sua partida. 

Segundo o relatório State of Web Application Security de 2018 da Radware , 23% das empresas relataram demissões de executivos relacionadas a ataques a aplicações. As empresas americanas eram mais propensas a dizer que os executivos foram demitidos após um incidente, assim como as empresas dos setores de tecnologia ou serviços financeiros.

Embora os CISO nem sempre sejam dispensados – a Kaspersky relata que funcionários seniores que não são de TI são demitidos em 27% das empresas (com mais de 1.000 funcionários) que sofrem uma violação – as suas posições podem estar em risco se houver falhas de segurança claras. Uma investigação da Nominet com mais de 400 CISOs nos EUA e no Reino Unido, realizada pela Osterman Research, constatou que 6,8% dos CISO nos EUA e 10% no Reino Unido acreditavam que, em caso de violação, perderiam o emprego. Pouco menos de 30% dos participantes da investigação acreditavam que receberiam apenas um aviso oficial.

Aqui estão seis grandes incidentes de segurança que custaram aos líderes de segurança os seus empregos nos últimos anos. 

1. Capital One

Em julho de 2019, a Capital One anunciou que um invasor obteve acesso às informações pessoais de mais de 100 milhões de clientes . O banco soube do ataque meses após o fato, graças a uma denúncia de um investigador de segurança. O suposto atacante, um ex-funcionário da Amazon, teria aproveitado um firewall mal configurado. A empresa disse que espera que o incidente custe entre 100 milhões a 150 milhões de dólares – principalmente para notificações de clientes, monitorização de crédito e suporte jurídico – apenas em 2019.

Em novembro, o Wall Street Journal informou que o Capital One substituiu Michael Johnson, o CISO da empresa desde 2017, pelo CIO da empresa, Mike Eason, enquanto procurava um substituto para período integral. Johnson continua na Capital One como consultor focado em ajudar a direccionar a resposta do banco à violação de dados.

2. Equifax

Em 2017, a segurança da Equifax foi comprometida através de um portal Web de reclamações de consumidores sem patches. Isto levou a que 143 milhões de registos de clientes – incluindo nomes, moradas, datas de nascimento, números de segurança social e números de carta de condução – fossem roubados.

Além da falta de correções, o ataque não foi detectado durante meses devido à falha da empresa na atualização de um certificado de ferramentas de segurança interna. A empresa falhou ao divulgar a violação só um mês após a descoberta. O Comitê de Supervisão e Reforma do Governo da Câmara dos Deputados dos EUA chamou o incidente de “inteiramente evitável”, enquanto o Subcomitê Permanente de Investigações do Senado dos EUA acusou a empresa de “negligência na segurança cibernética”.

Mas a forma de comunicar o problema também acabou por ser terrível. A equipa de media social da empresa enviou o URL errado para lidar com o incidente, enquanto o site dedicado em si estava mal protegido. Para complicar, Jun Ying, CIO da Equifax US Information Solutions foi preso por quatro meses e multado em 55.000 dólares por uso de informações privilegiadas após a violação, mas antes da empresa tornar público o incidente.

O custo do incidente foi estimado em cerca de mil milhões de dólares. A empresa pagou 75 milhões de dólares (potencialmente subindo para 700 milhões de dólares) com a Federal Trade Commission e outros. A empresa admitiu então, que o fundo criado a partir deste acordo se esgotaria porque muitas pessoas optaram por dinheiro, em vez de monitorização gratuito de crédito.

A CISO Susan Mauldin e o CIO David Webb deixaram a empresa nas semanas após a violação. O CEO da Equifax, Richard Smith, também se aposentou após a violação. Mauldin foi substituído pelo CISO interino Russ Ayres (anteriormente vice-presidente de TI da Equifax) antes de Jamil Farshchi assumir o papel permanentemente, tendo anteriormente desempenhado o papel na Home Depot, Time Warner e no Laboratório Nacional Los Alamos.

3. Uber

No final de 2017, a empresa Uber revelou que os dados de 57 milhões de motociclistas e motoristas foram roubados, incluindo nomes, endereços de e-mail, números de telefone e números de carta de condução. Os invasores acessaram o repositório de códigos GitHub privado do Uber – que a empresa desde então admitiu não ter a autenticação multifatorial ativada – e usaram credenciais de login armazenadas no local para aceder as instâncias do AWS S3 da empresa.

Embora tudo isto já fosse mau o suficiente, esta violação ocorreu 12 meses antes do CSO da empresa, Joe Sullivan, ter sido envolvido numa chantagem que incluía entregar 100.000 dólares aos atacantes – disfarçados de pagamento de recompensa por resolver um bug – em troca de excluir dados. A notícia só foi divulgada depois que o novo CEO Dara Khosrowshahi entrar a bordo, apesar da empresa ter entrado em conflito com a FTC por não divulgar uma violação de dados em 2014.

“Você deve estar-se a perguntar porque é que estamos a falar disto disto agora, um ano depois”, disse Khosrowshahi em comunicado que dava nota da violação. “Eu fiz a mesma pergunta. Nada disto deveria ter acontecido, e não encontrar desculpas por isto.

Sullivan, que tinha deixado o cargo de CSO do Facebook, foi demitido da Uber após dois anos e meio na empresa como resultado. Desde então, assumiu na Cloudflare o posto de CSO da empresa.

4. Facebook

Nem todos os CSO partem devido a incidentes específicos. Alex Stamos, CSO do Facebook desde 2015, deixou três anos no cargo de segurança da empresa para assumir uma posição na Universidade de Stanford, depois de ter discordado do modo como a empresa lidou com o escândalo da Cambridge Analytica. Stamos aparentemente favoreceu uma resposta mais aberta e direta ao divulgar o que a empresa sabia do que a admissão lenta e relutante. Mais tarde, disse à MSNBC que era um “grande erro” que a empresa não se manifestasse mais sobre a gravidade do incidente.

“Ninguém mentiu e ninguém encobriu nada”, disse ele, “mas sinto que a maneira inicial como estas coisas foram comunicadas realmente definiu a barreira de saber se uma empresa seria ou não vista como parte da solução ou parte de o problema. O Facebook não aproveitou a oportunidade para dizer ‘somos parte da solução’ ”.

Stamos desde então disse que o CEO do Facebook, Mark Zuckerberg, tem muito poder na empresa e deve ficar de lado. Anteriormente, ele havia renunciado ao Yahoo! depois da empresa ter construído uma ferramenta para as autoridades de inteligência dos EUA que podiam verificar as contas de email do Yahoo Mail dos utilizadores.

A empresa de Zuckerberg, anunciou que não substituiria Stamos  e, em vez disso, incorporou os seus engenheiros de segurança, analistas, investigadores e outros especialistas nas equipas de produtos e engenharia para “enfrentar melhor as ameaças emergentes à segurança” que a empresa enfrenta.

5. Alvo

O ataque de 2014 ao retalhista americano Target ainda é mencionado hoje, porque foi um dos casos mais notáveis ​​de um ataque bem-sucedido à cadeia de suprimentos  – hackers exploraram a pouca segurança num fornecedor de HVAC para comprometer os sistemas de pagamento da Target e roubar os detalhes de pagamento de cerca de 40 milhões ataque de clientes durante o período de Natal em 2013.

O CIO Beth Jacob deixou a Target nos meses seguintes ao ataque, quando a empresa reformulou sua postura de segurança e nomeou seu primeiro CISO, antigo CISO da GE, Brad Maiorino, logo depois.

Como costuma acontecer em ataques de alto nível, o CEO da Target, Gregg Steinhafel, renunciou a todas as suas posições nos meses seguintes à violação (apesar de a expansão fracassada da empresa no Canadá também ter sido um fator). Outros CEO a deixar na sequência de incidentes de segurança cibernética incluem Amy Pascal, CEO da Sony, e Walter Stephan, empresa austríaca aeroespacial da FACC, após um golpe bem-sucedido do BEC.

6. JP Morgan

Em 2015, o CSO do JPMorgan Chase, Jim Cummings e o CISO Greg Rattray, foram transferidos para novas posições dentro do banco após a violação de mais de 83 milhões de contas nos EUA em 2014 , incluindo nomes, e-mail, moradas e números de telefone. Cummings teria sido transferido para trabalhar em iniciativas de habitação para militares e veteranos do banco. Rattray foi nomeado chefe de parcerias cibernéticas globais e estratégia governamental e substituído como CISO pelo ex-executivo de segurança da Lockheed Martin Roham Amin.

Se mantiver o seu emprego, os incidentes podem ser bons

Embora um incidente possa deixar alguns CISO a temer pelos seus empregos, o oposto pode ser verdadeiro e pode trazer benefícios tanto para a sua carreira quanto para sua saúde pessoal. Um estudo da Universidade Goldsmiths de Londres e da Symantec pesquisou mais de 3.000 decisores de segurança em França, Alemanha e Reino Unido e descobriu que passar por uma violação de dados pode ter um efeito positivo.

Cerca de um quarto (26%) dos entrevistados sofreu uma violação e era muito menos provável que “stressassem” com questões relacionadas com o trabalho. Os sentimentos relatados de desgaste entre os entrevistados ​​foram de quase metade (23%) no grupo que sofreu uma violação em comparação aos que não tiveram (47%).

Apenas 14% deste grupo consideram que a partilha de informações sobre um incidente ocorrido sob vigilância afeta negativamente sua carreira, em comparação com 18% das pessoas que não sofreram uma violação. A porcentagem de pessoas que temiam ser demitidas como resultado de um incidente também foi muito menor entre as que já haviam sofrido violações: 19% a 28%.

Um estudo semelhante realizado pela Optiv Security constatou que a maioria (58%) dos 200 CISO do Reino Unido e dos EUA entrevistados considerou que sofrer uma violação de dados os torna mais atraentes para os empregadores em potencial. Apenas 6% dos CISO no estudo Optiv dizem que não permaneceram na empresa durante o período de recuperação após uma violação.

“Os profissionais de segurança cibernética que testemunharam um ataque em primeira mão devem ser aplaudidos, não difamados”, diz Ewen O’Brien, vice-presidente das empresas da região EMEA da BitSight. “Devem sentir-se confiantes de que sua experiência pode ajudar as organizações a estarem melhor preparadas para o futuro. As experiências – e o conhecimento que os CIOS obtiveram com estas experiências – podem ser usadas para reforçar a gestão de desempenho de segurança e criar uma frente formidável contra ameaças em potencial. ”

Autores
O seu comentário...

*

Top