Dzień przed uruchomieniem nowego systemu otrzymałem wezwanie sądowe.
Publiczna komisja regulacyjna zażądała zeznań na temat standardów bezpieczeństwa w branży technologii finansowych. W szczególności chcieli porozmawiać o Caldwell Industries i o tym, co poszło nie tak.
Siedziałem w sali przesłuchań w Waszyngtonie, naprzeciwko komisji urzędników, którzy rozumieli technologię na tyle, by się martwić, ale nie na tyle, by czuć się komfortowo.
„Pani Chen” – zaczął jeden z nich – „czy może pani jasno wyjaśnić, co wydarzyło się w Caldwell Industries?”
Pochyliłem się do mikrofonu.
„W trakcie kryzysu wykwalifikowany specjalista został zastąpiony przez osobę niewykwalifikowaną” – powiedziałem. „Rezultatem była katastrofalna porażka. Gdyby zastąpić kardiochirurga w trakcie operacji kimś, kto studiował medycynę tylko na studiach, można by oczekiwać podobnych rezultatów”.
Kilka osób na galerii zareagowało szeptem.
Pytania trwały nadal.
„A czyja to była decyzja?”
„Dyrektor generalny Brandon Caldwell”.
„Zwolnił cię, gdy incydent trwał?”
“Tak.”
„I zainstalował swojego syna?”
“Tak.”
„Jakie kwalifikacje miał Kyle Caldwell?”
„Wymagany tytuł licencjata z informatyki i letni staż. Brak doświadczenia w zarządzaniu systemami bezpieczeństwa przedsiębiorstwa, reagowaniu na incydenty lub zapobieganiu kryzysom”.
„A twoje kwalifikacje?”
„Dwanaście lat doświadczenia w cyberbezpieczeństwie. Liczne certyfikaty branżowe. Tytuł magistra inżynierii komputerowej. Osiem lat budowania i utrzymywania infrastruktury Caldwell. Byłem fizycznie obecny, aktywnie powstrzymując incydent, kiedy zostałem usunięty”.
Przesłuchanie trwało dwie godziny.
Zeznawali inni świadkowie. Eksperci ds. bezpieczeństwa. Byli pracownicy Caldwell. Nawet sam Kyle, wyglądający na nieszczęśliwego, przyznał, że był przytłoczony i podejmował decyzje, których nie do końca rozumiał.
Jednak moment, który trafił na pierwsze strony gazet, nadszedł, gdy pewien urzędnik zapytał mnie o moje narzędzia.
„Pani Chen, usunęła Pani swoje niestandardowe narzędzia bezpieczeństwa po zwolnieniu. Niektórzy sugerują, że to działanie spowodowało dodatkowe szkody. Jak Pani reaguje?”
W pokoju zapadła cisza.
Spojrzałem prosto przed siebie.
„Te narzędzia były moją własnością intelektualną” – powiedziałem. „Opracowałem je w wolnym czasie, wykorzystując własne zasoby i udzieliłem licencji Caldwell Industries na mocy umowy o pracę. Kiedy ta umowa wygasła, licencja również wygasła. Miałem pełne prawo usunąć zastrzeżone oprogramowanie, które do mnie należało”.
„Ale wiedziałeś, że to stworzy wyzwania dla firmy”.
„Wiedziałem, że to będzie stanowiło wyzwanie dla mojego następcy” – powiedziałem. „Tak jak szef kuchni, który usunąłby swoje prywatne przepisy, stanowiłby wyzwanie dla osoby, która go zastąpi. To nie jest niewłaściwe postępowanie. To naturalna konsekwencja utraty wiedzy instytucjonalnej”.
„Niektórzy powiedzieliby, że masz moralny obowiązek”.
„Niektórzy powiedzieliby, że pracodawca ma moralny obowiązek nie odwoływać szefa ochrony w trakcie kryzysu i nie zatrudniać na jego miejsce niekompetentnego członka rodziny” – odpowiedziałem. „Moralność to skomplikowana sprawa”.
Nagranie rozeszło się w ciągu godziny.
Sześć miesięcy po tamtej nocy w serwerowni stanąłem przed zarządem Caldwell Industries.
„Nowa infrastruktura bezpieczeństwa jest gotowa” – powiedziałem im. „Jest sprawna, przetestowana i znacznie silniejsza niż ta, którą mieliście wcześniej. Mój zespół przeszkolił wasz stały personel. Dokumentacja jest kompleksowa. Jesteście w dobrych rękach”.
Amanda Walsh, która od tamtej pory objęła ważniejszą funkcję przywódczą, uśmiechnęła się.
„Więc to pożegnanie?”
„To pożegnanie.”
Wypełniłem swoją umowę.
Opłata za konsultacje w wysokości 2,5 miliona dolarów znajdowała się na moim koncie.
Firma była bezpieczna.
I skończyłem.
Gdy wychodziłem z budynku po raz ostatni, Eric dogonił mnie w pobliżu holu.
„Będzie nam ciebie brakowało” – powiedział.
„Będzie dobrze. Znasz te systemy na wylot”.
„To nie jest to samo”.
„To nie miało tak być. Nie jesteś mną. Jesteś lepszy, bo wyciągnąłeś z tego wszystkiego wnioski”.
Uścisnął mi dłoń.
„Jeśli będziesz czegoś potrzebował”, powiedziałem, „zadzwoń”.
Mówiłem poważnie.
Trzy miesiące później założyłem własną firmę konsultingową zajmującą się bezpieczeństwem cybernetycznym.
Rozwiązania bezpieczeństwa Chen.
Moim pierwszym klientem była firma z branży opieki zdrowotnej, która o włos uniknęła poważnego incydentu systemowego. Drugim była firma produkcyjna, której zabezpieczenia opierały się głównie na arkuszu kalkulacyjnym zabezpieczonym hasłem. Trzecim był startup, którego założyciele chcieli, aby wszystko było poprawnie zaprojektowane od samego początku.
Wieść rozeszła się szybko.
Kobieta, która odeszła z Caldwell Industries.
Kobieta, która zeznawała w Waszyngtonie.
Kobieta, która w ciągu sześciu tygodni odbudowała infrastrukturę firmy wartej miliard dolarów.
Można ją było wynająć.
Praca była wymagająca, satysfakcjonująca i odbywała się całkowicie na moich warunkach.
Koniec z szefami, którzy cenią rodzinne przysługi bardziej niż kompetencje. Koniec z błaganiem o środki, żebym mógł dobrze wykonywać swoją pracę. Koniec z milczeniem, gdy widzę nadchodzące problemy.
Zbudowałem zespół specjalistów, którzy podzielali moje wartości. Przyjmowaliśmy klientów, którzy naprawdę chcieli czuć się bezpiecznie, a nie tylko tych, którzy chcieli spełniać wymogi zgodności.
Każda umowa zawierała klauzulę.
W przypadku wystąpienia incydentów osoby podejmujące decyzje na szczeblu kierowniczym muszą kierować się wskazówkami ekspertów ds. bezpieczeństwa.
Żadnych wyjątków.
Nazywałem to klauzulą Caldwella.
Niektórzy klienci stawiali opór.
Nie takich klientów chciałem.
Ci, którzy rozumieli, którzy widzieli, co się dzieje, gdy ego bierze górę nad wiedzą, podpisali się natychmiast.
Rok po tamtej nocy w serwerowni otrzymałem e-mail od Kyle’a Caldwella.
Temat: Przeprosiny.
Długo się temu przyglądałem, zanim otworzyłem.
Pani Chen,
Wiem, że ten e-mail powinien już dawno do Ciebie dotrzeć. Jestem Ci winien przeprosiny.
To, co wydarzyło się w Caldwell Industries, nie było twoją winą. To była moja wina i wina mojego ojca. Nigdy nie powinien był stawiać mnie w takiej sytuacji, a ja powinnam być na tyle mądra, żeby odmówić.
Byłem arogancki. Myślałem, że dyplom daje mi kwalifikacje. Uważałem, że systemy, które zbudowałeś, są niepotrzebnie skomplikowane. Myślałem, że potrafię to zrobić lepiej.
Myliłem się we wszystkim.
Przez ostatni rok pracowałem na stanowiskach podstawowych w branży cyberbezpieczeństwa i uczyłem się od podstaw. Zaczynam od nowa i tym razem staram się zrobić to dobrze.
Nie oczekuję przebaczenia. Nie oczekuję odpowiedzi. Chciałem tylko, żebyś wiedział, że teraz rozumiem, ile cię kosztowałem, ile kosztowałem firmę i ile kosztowałem czterdzieści siedem milionów ludzi, których danych nie zdołałem ochronić.
Przepraszam.
Kyle.
Przeczytałem to dwa razy.
Następnie kliknąłem „Odpowiedz”.
Kyle,
