CISOs Under the Microscope: Preparing for Executive Liability

Av Danny Bradbury • 10 april 2025

Ubers tidligere CISO, Joe Sullivan, klarte ikke å rense navnet hans forrige måned, og gjenåpnet en diskusjon om de personlige risikoene som toppledere står overfor på grunn av brudd på nettsikkerhet.

Sullivan hadde anket en dom fra oktober 2022 for å ha skjult en forbrytelse etter at han betalte ned cyberkriminelle som hacket kundekontoer hos sin tidligere arbeidsgiver. Hacket i 2016 kompromitterte personopplysningene til 57 millioner kunder og 600,000 100,000 Uber-sjåfører. Sullivan betalte de kriminelle 2014 XNUMX dollar fra selskapets bug-bounty-program og fikk dem til å signere en taushetserklæring. Han unnlot heller å informere Federal Trade Commission, noe han fikk mandat til å gjøre under et forlik fra XNUMX etter et eget hack.

Sullivan, som var dømt til tre års prøvetid og en bot på 50,000 2023 dollar for domfellelsen i mai XNUMX, hadde anket kjennelsen. Anken hevdet at han ikke hadde begått "feilfengsel" - handlingen med å skjule en forbrytelse fra myndighetene - fordi NDA med tilbakevirkende kraft autoriserte hacket. Retten avviste dette argumentet, sammen med noen påstander om prosedyrefeil.

Rettens standhaftighet i dette spørsmålet øker nok en gang spekteret av personlig lederansvar for brudd på nettsikkerhet og/eller feilhåndtering av hendelsesrespons. Disse opplevde overtredelsene kom i forskjellige former.

Noen opplevde CISO-mangler dreier seg om villedende utsagn. SEC forfulgte personlig SolarWinds' CISO Timothy G. Brown etter selskapets brudd i 2019 og 2020, og argumenterte for at han kom med falske uttalelser om cybersikkerheten i offentlige registreringer, selv om de var klar over svakhetene. En domstol avviste senere anklagene mot Brown.

Andre dreier seg om selve mangelen på nettsikkerhet. James Rellas, administrerende direktør for alkoholleveringstjenesten Drizly, hadde ikke en dedikert leder med ansvar for cybersikkerhet da et brudd på selskapet hans avslørte 2.5 millioner kunders informasjon. FTCs 2022 rekkefølge holdt ikke bare selskapet ansvarlig for angivelig uaktsom cybersikkerhetsatferd, men ham personlig.

Én personlig straff utmålt mot en CISO fokusert på uredelig oppførsel. Jun Ying, tidligere CISO ved Equifax US Information Solutions, fikk fire måneders fengsel etter å ha utøvd sine aksjeopsjoner før et brudd på selskapet i 2017 ble avslørt offentlig. Ying, som visste om bruddet da han innløste opsjonene sine, unngikk over $117,000 XNUMX i tap gjennom innsidehandelen. DoJ tvang ham til å betale tilbake tapene, sammen med en bot, og han ble dømt til fire måneders fengsel.

Lederansvar utenfor USA

Det er ikke bare amerikanske ledere som står overfor personlig ansvar for håndtering av cybersikkerhetshendelser. Kim Jin-Hwan, personvernansvarlig for det sørkoreanske reisebyrået Hana Tour Service, var personlig bøtelagt 10 millioner koreanske won for uaktsomhet i et brudd i 2017 som berørte 465,000 XNUMX kunder.

Regelverket har også fokusert linsen på lederes personlige ansvarlighet. EUs 2022 NIS2-direktivet (2022) pålegger toppledelsen å stå til ansvar for manglende overholdelse av regelverket for cybersikkerhet, noe som åpner for personlige sanksjoner mot enkeltpersoner. Disse inkluderer midlertidige suspensjoner av ledere som anses ute av stand til å oppfylle sitt cybersikkerhetsansvar.

En annen EU-forordning, Digital Operational Resilience Act (DORA), fokuserer på å sikre at finansielle organisasjoner kan opprettholde kritiske tjenester i møte med systemiske trusler. Det åpner for bøter på opptil én million euro mot uaktsomme ledere.

Utfordringer for CISOer

Problemet for CISO-er ligger i den "kjølende effekten" som faren for personlig ansvar fører med seg, advarte mange i brev til dommer William Orrick III, som ledet den opprinnelige Uber-saken. Bekymringen er at CISOer kan føle seg ute av stand til å gjøre jobben sin under trusselen om personlig ansvar.

Denne bekymringen er gyldig når du tar i betraktning den raskt voksende angrepsoverflaten til gjennomsnittlig selskap. Bedrifter oppfordres til å holde seg konkurransedyktige ved å teste ut teknologier i rask utvikling, inkludert AI, mobil og skydatabehandling. Det øker byrden med utøvende tilsyn. Hvis en person som handler i god tro løper risikoen for personlig ansvar i møte med overveldende cybertrusler, kan det fraråde folk fra å påta seg rollen.

Imidlertid ser det ut til at de straffende hendelsene her ikke hviler så mye på cybersikkerhetsbruddene i seg selv, men på håndtering av hendelsesresponsinformasjon før og etter faktum. Sullivan ble ikke straffet for bruddet. Han ble straffet fordi han prøvde å dekke det til. Andre visste om sårbarhetene deres i årevis før bruddene deres og tok lite eller ingen forebyggende tiltak. Og fremtredende nyheter om et brudd for dine egne aksjehandelsformål er helt klart en praksis i ond tro.

Hvordan beskytte ledere

Etter hvert som risikoen for personlig ansvarlighet øker, vil selskaper som følger veletablerte cybersikkerhets- og risikostyringsrammeverk være i stand til å beskytte seg selv – og deres toppledelse – mot regulatoriske eller juridiske konsekvenser.

ISO 27001 er et viktig verktøy i denne sammenhengen fordi det er en anerkjent internasjonal standard som viser proaktiv due diligence. Ohios databeskyttelseslov tilbyr til og med eksplisitt juridisk trygg havn for cybersikkerhetsprogrammer som rimeligvis er i samsvar med ISO 27001.

ISO 27001 tilbyr noen kjernepraksis som kan bidra til å demonstrere due diligence og samvittighetsfullhet når du følger nettsikkerhetstiltak. Disse inkluderer etablering av et klart, dokumentert styringsrammeverk for cybersikkerhet med involvering av toppledelsen og implementering av standardbaserte, dokumenterte hendelsesresponsplaner. Andre tiltak inkluderer gjennomføring av regelmessig opplæring, revisjoner og kontinuerlige forbedringsprosesser.

Det anbefales å opprettholde grundig dokumentasjon for å gi bevis på ledende overvåking og risikostyring, utført etter beste evne til et lederteam.

Ordet "lag" er imidlertid avgjørende. Ledende ledere bør støtte de som har ansvaret for cybersikkerhet på riktig måte, og det bør stilles rimelige forventninger til dem. Alt for ofte forventes det at CISO-er stopper alle angrep uten betydelige investeringer, og uten skikkelig støtte fra en virksomhet som er helt fokusert på å presse ut neste produkt og maksimere fortjenesten. Det er en sykdom som krever kulturell endring.

Danny Bradbury

Danny Bradbury har vært trykt journalist med spesialisering i teknologi siden 1989 og frilansskribent siden 1994. Han har skrevet for nasjonale publikasjoner på begge sider av Atlanterhavet og har vunnet priser for sitt undersøkende arbeid med cybersikkerhetsjournalistikk.

Les mer fra Danny Bradbury

Cyber sikkerhet 5 februar 2026

hvorfor regulatorer og investorer forventer at selskaper skal ta opp en trippelrisikoblogg

Hvorfor regulatorer og investorer forventer at selskaper skal håndtere en trippel risiko

Organisasjoner bekymrer seg for sikkerhets- og personvernrisiko. Og i den senere tid har de lagt merke til risiko knyttet til kunstig intelligens. Men hvor ofte tenker de på alt ...

Danny Bradbury

Cyber sikkerhet 15 januar 2026