信息化觀察網(wǎng)

一些網(wǎng)絡(luò)攻擊，尤其是諸如目前似乎永無止境的勒索軟件事件之類的攻擊，對組織造成了一些非常嚴(yán)重的后果，比如面向客戶的服務(wù)會突然中斷、失去生產(chǎn)力、收入和聲譽下降，更不用說補救的成本，比如支付贖金，以及可能的數(shù)據(jù)泄漏甚至是監(jiān)管罰款。但是，此類網(wǎng)絡(luò)事件不僅會造成對組織的損害，而且還會造成受害組織的人員變動。從著名的“塔吉特黑客事件”開始，到家得寶、索尼、Equifax和Imperva的黑客事件，幾位首席執(zhí)行官已經(jīng)被追究責(zé)任，并在嚴(yán)重的網(wǎng)絡(luò)事件后被迫辭職。

丟錢又丟人：塔吉特（Target）安全事件損失慘重

2013年年底，美國零售巨頭塔吉特(Target)宣布公司被黑客入侵，7000萬的用戶個人信息和4000萬的信用卡數(shù)據(jù)被盜，涉及用戶名、電話號碼、電子郵箱和信息卡信息等隱私數(shù)據(jù)。據(jù)估計塔吉特的損失可能達(dá)到10億美元，同時塔吉特還將向個人受害者支付最高10000美元的的損害賠償，并將增加數(shù)據(jù)安全保護(hù)措施。對公司內(nèi)部而言，因此安全事件，塔吉特辭退了時任CEO并重新任命一位首席信息安全官。

人們可能會認(rèn)為CISO（首席信息安全官）會成為這類攻擊的主要受害者，但行業(yè)分析機構(gòu)Gartner表示，到2024年，未來的網(wǎng)絡(luò)攻擊可能會導(dǎo)致75%的CEO承擔(dān)“個人責(zé)任”。簡而言之，整個高管層需要為一次成功的網(wǎng)絡(luò)攻擊的后果做好背鍋準(zhǔn)備，因為網(wǎng)絡(luò)攻擊可能會損害那些負(fù)責(zé)確保組織安全的人的業(yè)務(wù)和職業(yè)生涯。

直到最近，企業(yè)還可以將網(wǎng)絡(luò)事件和數(shù)據(jù)泄漏事件隱藏起來，遠(yuǎn)離公眾的視線。然而，監(jiān)管的進(jìn)步、公眾情緒和網(wǎng)絡(luò)攻擊的性質(zhì)改變了這一切。

HIPAA，GDPR，CCPA，NYC DFS和許多其他數(shù)據(jù)泄漏通知和隱私法規(guī)使公司無法合法地掩蓋遭受重大網(wǎng)絡(luò)事件的事實。試圖輕描淡寫的公司和個人可能會受到追究和處罰，就像Uber的前CISO一樣，他現(xiàn)在被指控妨礙司法公正。據(jù)稱，他試圖掩蓋2016年的一次黑客攻擊。Uber 2016年發(fā)生了一起重大數(shù)據(jù)泄漏事件，該事件中黑客攻擊并竊取了5700萬名Uber客戶和司機的個人數(shù)據(jù)，而Uber并沒有將此事告知監(jiān)管機構(gòu)，而選擇與黑客和解，支付10萬美金讓黑客保持沉默。

攻擊的性質(zhì)也發(fā)生了變化，最近幾年的勒索軟件攻擊除了加密數(shù)據(jù)外還會向全世界宣布其竊取的大量數(shù)據(jù)。如果他們的贖金要求得不到滿足，攻擊者就揚言要發(fā)布或出售被盜數(shù)據(jù)。在許多情況下，這意味著公眾幾乎肯定會意識到該事件，這時，如果受害者繼續(xù)否認(rèn)該事件甚至拒絕對此發(fā)表評論，則只會進(jìn)一步損害受害者的聲譽。此外，隨著公眾越來越了解關(guān)于其中保存的數(shù)據(jù)量及其敏感程度，越來越多的公司和組織被指責(zé)缺乏安全實踐?，F(xiàn)在，許多消費者表示應(yīng)該對組織的安全疏忽負(fù)責(zé)，最近的一項調(diào)查發(fā)現(xiàn)，英國35％的消費者將CEO視為發(fā)生網(wǎng)絡(luò)事件時的首要責(zé)任人。201年奧地利飛機零部件制造商FACC公司宣布將解雇其CEO沃爾特·史蒂芬（Walter Stephan），史蒂芬由于誤信詐騙郵件而令該公司損失4700萬美元（約合人民幣3.09億元）。監(jiān)管理事會做出這個決定是由于沃爾特·史蒂芬嚴(yán)重失職，特別是涉及到“假總裁事件”。雖然該公司并未透露關(guān)于這場騙局的更多細(xì)節(jié)，但“假總裁事件”卻是企業(yè)電子郵件攻擊的標(biāo)志性事件，“假總裁事件”指的是已在全世界蔓延的“CEO郵件騙局”，又稱為CEO欺詐或者釣鯨。手法是犯罪分子偽裝成公司首席執(zhí)行官或者其他高管,通過電子郵件下達(dá)虛假電匯指令。犯罪分子有時候聲稱這筆資金將用于收購對手，要求進(jìn)行保密。

在其他情況下，高管也會被追究責(zé)任，因為網(wǎng)絡(luò)安全現(xiàn)在被認(rèn)為是一項基本的業(yè)務(wù)運營要求。例如，2018年新加坡最大的醫(yī)療保健集團(tuán)SingHealth遭受了大規(guī)模的數(shù)據(jù)泄露，暴露了150萬患者記錄。被盜記錄包括患者的姓名，地址，性別，種族，日期出生和國民登記身份證（NRIC）號碼。包括其首席執(zhí)行官Bruce Liang在內(nèi)的五名高級管理人員因?qū)ingHealth安全漏洞的“集體領(lǐng)導(dǎo)責(zé)任”而被罰款。

高管們?nèi)绾未_保組織安全的七個步驟

有責(zé)任的組織可以遵循明確定義的企業(yè)安全路徑，限制安全破壞的風(fēng)險和后果。步驟如下：

1.評估你的安全狀況，第一步是評估組織的安全狀況。最高管理者（CIO，CSO，CISO）需要對組織的安全機制有清晰和最新的了解，包括人員配備水平、培訓(xùn)、系統(tǒng)和程序、事件響應(yīng)和業(yè)務(wù)連續(xù)性。你是否仍在依賴傳統(tǒng)的防病毒解決方案，而這些解決方案容易被當(dāng)今的攻擊者所繞過？誰負(fù)責(zé)威脅搜尋，每隔多長時間搜尋一次？事件反應(yīng)程序是怎樣的？在我們現(xiàn)在面臨的高度安全環(huán)境中，當(dāng)從腳本小子到APT的攻擊者能夠訪問和使用復(fù)雜的惡意軟件時，必須清楚地了解你當(dāng)前的安全狀況。

2.進(jìn)行網(wǎng)絡(luò)風(fēng)險評估，CEO和C級管理人員需要了解組織面臨的網(wǎng)絡(luò)威脅的性質(zhì)，目前有許多可用于風(fēng)險評估的工具，包括使用行業(yè)基準(zhǔn)、政府和執(zhí)法機構(gòu)的建議以及威脅情報反饋。風(fēng)險評估還應(yīng)包括監(jiān)管和商業(yè)風(fēng)險，例如由于網(wǎng)絡(luò)攻擊而導(dǎo)致的聲譽損失。

3.制定企業(yè)范圍的安全計劃：清楚地了解組織所面臨的威脅和當(dāng)前的安全狀況，就有可能評估組織在哪些方面表現(xiàn)良好，哪些方面還有改進(jìn)的空間。根據(jù)組織的風(fēng)險偏好制定計劃來解決這些差距是至關(guān)重要的。該計劃應(yīng)包括一個現(xiàn)代EDR平臺、事故響應(yīng)和緩解能力、備份系統(tǒng)和業(yè)務(wù)連續(xù)性程序。

4.分配足夠的資源：在制定和批準(zhǔn)安全計劃后，必須分配適當(dāng)?shù)娜藛T、組織和財務(wù)資源。這很關(guān)鍵。一項計劃如果沒有人力資源和財務(wù)資源的支持，則這不是真正的計劃，而是一廂情愿的想法。如果一個計劃因為需要組織不愿意做出的結(jié)構(gòu)性改變而無法實施，那它只是一個浪費時間的想法。缺乏充分制定和批準(zhǔn)預(yù)算的計劃則表明這是沒有真正的意愿或意圖推動變革。

5.持續(xù)進(jìn)行監(jiān)督：就算有實施周密、資源充足的計劃時，也必須進(jìn)行監(jiān)督并向高級管理層報告。如果一個應(yīng)急計劃只是部分執(zhí)行，沒有按照預(yù)期執(zhí)行，或者在實踐中不像預(yù)期那樣，則可能比沒有計劃更糟糕。安全主管還應(yīng)監(jiān)控業(yè)務(wù)運營的發(fā)展以及運營變更如何影響安全計劃。例如，突然轉(zhuǎn)移到在家工作的計劃明顯改變了組織所面臨的風(fēng)險，但是有多少企業(yè)已經(jīng)更新了他們的安全計劃和解決方案來考慮到這一點呢？

6.進(jìn)行外部審核：建議進(jìn)行外部審核，以驗證CISO的計劃及其執(zhí)行。這樣做的好處包括無黨派，客觀地了解你的準(zhǔn)備情況和實施情況，這不僅可以讓內(nèi)部相信你正在做正確的事情，而且還可以作為安全漏洞發(fā)生后迅速重建外部信任的重要組成部分。

7.計劃是否持續(xù)：在一個完整階段的安全計劃結(jié)束時，必須評估計劃的成功與否以及決定是否繼續(xù)執(zhí)行或進(jìn)行更改。許多組織認(rèn)為他們已經(jīng)有了一個很好的計劃，卻發(fā)現(xiàn)在實踐中一個行動者已經(jīng)連續(xù)數(shù)月不斷地突破了他們的防御。

發(fā)生網(wǎng)絡(luò)攻擊時高管們?nèi)绾螒?yīng)對？

但衡量高管的標(biāo)準(zhǔn)不僅僅是他們的計劃和具體執(zhí)行情況，衡量它們的標(biāo)準(zhǔn)還包括它們對危機的反應(yīng)，當(dāng)危機來臨時，最好是按照預(yù)先設(shè)定的計劃行事。如果沒有的話，盡快引進(jìn)事件反應(yīng)和危機管理方面的專家。

高管們必須與董事會、員工、客戶和媒體及時公開地溝通情況，迅速、誠實和透明地做出反應(yīng)的組織通常會得到以上所有人的支持。

例如，2018年美版“知乎”Quora遭黑客入侵，1億用戶受影響。首席執(zhí)行官迅速做出反應(yīng)，發(fā)布了一個非常透明的博客文章，并通過電子郵件通知了所有用戶，并建立了專門的問答站點，并將最新情況通報給用戶。

總結(jié)

保護(hù)你的組織免受當(dāng)今的網(wǎng)絡(luò)威脅是企業(yè)高管們的當(dāng)務(wù)之急，如今，那個只需要雇用IT管理員來安裝現(xiàn)成的防病毒軟件，并在網(wǎng)絡(luò)外圍建立防火墻就完事大吉的日子已經(jīng)一去不復(fù)返了。在當(dāng)今的云計算世界中，容器化的工作負(fù)載，遠(yuǎn)程的勞動力以及令人眼花的不安全的IoT設(shè)備已經(jīng)讓網(wǎng)絡(luò)安全發(fā)生了質(zhì)變，再加上網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)攻擊者的呈指數(shù)級增長和復(fù)雜性，需要高管們付的安全責(zé)任就越來越多了。