Auslöser war nicht ein Vorfall, der Ellis selbst betraf, sondern der Fall von HD Moore. Während ihrer Zeit bei Rapid7 arbeitete sie eng mit dem Metasploit-Schöpfer zusammen und vermittelte der Öffentlichkeit, warum dessen Forschung relevant war. 2013 geriet Moore wegen seiner Arbeit über Critical.io, einer Internet-weiten Scanning-Initiative, die später zu Rapid7s Project Sonar wurde, unter rechtlichen Druck des US-Justizministeriums. Moore wurde zwar entlastet, doch laut Ellis war der Schaden bereits entstanden: Nach drei Monaten Belastung stellte er infrage, ob er überhaupt weiter Sicherheitsforschung betreiben wolle.
Ellis reagierte darauf mit einer vertieften Auseinandersetzung mit dem Computer Fraud and Abuse Act, dem Digital Millennium Copyright Act und weiteren Gesetzen auf Bundes- und Landesebene. Dabei stieß sie nach eigener Darstellung auf ein Muster: Sicherheitsforscher wurden von Unternehmen, denen sie mit Offenlegungen helfen wollten, mit Klagen und Drohungen konfrontiert. Mit Unterstützung des damaligen Rapid7-CEO Corey Thomas begann sie deshalb, sich in die Politikarbeit einzuarbeiten, obwohl sie selbst nach eigenen Worten weder Juristin noch Politikexpertin war.
Einen ersten wichtigen Durchbruch erreichte sie 2014, als sie Kontakt zur Computer Crimes and Intellectual Property Section des US-Justizministeriums aufnahm. Dort traf sie unter anderem Leonard Bailey, damals Leiter der Abteilung, der in den folgenden Jahren zu einem zentralen Ansprechpartner wurde. Als Ellis ihn zu Black Hat einlud, um mit Sicherheitsforschern zu sprechen, reagierte er zunächst ablehnend. Wenig später nahm er das Angebot doch an.
Bei Black Hat brachte Ellis mehrere Dutzend Sicherheitsforscher zusammen, darunter Dan Kaminsky, um mit Bailey zu sprechen. Bailey erinnert sich an eine aufgeheizte Phase: Das Treffen fand nur ein Jahr nach dem Tod von Aaron Swartz statt, dessen Anklage nach dem Computer Fraud and Abuse Act viele in der Sicherheitscommunity als unfair empfanden. Laut Bailey war es bemerkenswert, dass Ellis in dieser Atmosphäre genug Vertrauen aufgebaut hatte, um einen respektvollen, aber offenen Austausch zu ermöglichen. Nach etwa einer Stunde verlagerte sich das Gespräch nach seiner Darstellung auf gemeinsame Ziele: den Schutz von Menschen, Netzwerken und Opfern und das Verständnis dafür, dass White-Hat-Hacker genau dazu beitragen.
Wie schnell sich ihre politische Arbeit entwickelte, zeigte laut Bericht der Sommer 2015. In einer Woche sagte Ellis vor dem Kongress zu einem Gesetzesvorhaben zur Cyberkriminalität aus und war nach eigener Darstellung die einzige Zeugin, die nicht vorbehaltlos dafür eintrat. Die Senatoren Whitehouse und Graham signalisierten ihr anschließend Offenheit für Gespräche mit der Sicherheitscommunity über Reformen zum Schutz von Forschern unter dem Computer Fraud and Abuse Act. In derselben Zeit half sie auch dabei, Vertreter des US-Justizministeriums mit Mitgliedern der Sicherheitscommunity für die Überprüfung des Digital Millennium Copyright Act zu vernetzen.
Ein erstes politisches Ergebnis folgte 2016: Die Zusammenarbeit mit Bailey mündete in eine Vorgabe, nach der Bundesstaatsanwälte vor Anklagen nach dem Computer Fraud and Abuse Act die Computer Crimes and Intellectual Property Section konsultieren mussten. Weitere Arbeit von Ellis sowie Organisationen wie Electronic Frontier Foundation und I Am The Calvary trug später zu einer richtungsweisenden Anweisung des US-Justizministeriums im Jahr 2022 bei, die Staatsanwälte davon abhalten sollte, gegen gutgläubige Sicherheitsforscher vorzugehen.
Inzwischen arbeitet Ellis nach ihrem Weggang von Rapid7 über ihre Firma NextJenSecurity mit Schwerpunkt auf Politikentwicklung, politischer Einflussnahme, Community-Arbeit und Kommunikationsstrategie. Nach ihrer Rückkehr in das Vereinigte Königreich während der Pandemie verlagerte sie ihren Fokus auf das Vereinigte Königreich und die EU. Sie sitzt im Government Cyber Advisory Board des britischen Cabinet Office und ist Fellow des Royal United Services Institute. In diesem Sommer wurde sie für ihre Beiträge zur Cybersicherheitspolitik mit dem MBE ausgezeichnet.
Ellis selbst beschreibt ihre Rolle vor allem als Vermittlerin. Sie höre zu, bündele unterschiedliche Anliegen und versuche, daraus etwas Pragmatisches zu machen, das politische Entscheidungsträger aufgreifen können. Politik sei für sie kein Selbstzweck, sondern ein Mittel, um Risiken im großen Maßstab zu senken.
