上月初，美國財政部副部長薩拉·布魯姆·拉斯金(Sarah Bloom Raskin)在德克薩斯銀行家協會上發表了關于網絡安全規劃和準備重要性的講話。在講話中，美國財政部會同證券交易委員會(SEC)、聯邦貿易委員會(FTC)、聯邦通信委員會(FCC)以及其他監管機構，表達了網絡安全必將成為金融服務機構高管的頭等大事，網絡安全可能給社會經濟帶來比恐怖主義還要大的威脅。因為大型金融機構如果發生嚴重的入侵事件，會引起用戶的信任危機，進而導致金融服務機構的癱瘓。

[[125631]]

拉斯金向金融機構的高管和董事提出了十個需要解決的實際問題，以評估各自相應機構的網絡安全工作。盡管這些問題是面向金融行業提出的，但它們同樣適用于各個領域，并為各行各業的領導人提供了一個堅實的網絡空間安全規劃的框架。

一、基礎保護措施的評估

前5個問題集中在機構的基礎保護措施方面，即企業已經建立起來的安全方面的政策、流程和控制。

1. 網絡空間風險是否屬于當前風險管理框架中的一部分?

2. 我們遵循國家標準和技術研究所(NIST)的《關鍵基礎設施網絡空間安全框架》了嗎?

正如當前大量的網絡攻擊事件所證明，網絡安全已經不只是信息系統本身的問題，它已經是一個至關重要的運營風險問題，因此是商業領導人需要解決的問題。對于評估機構本身的網絡安全措施和基礎設施的管理者來說，NIST的網絡安全框架就是用來提供一個彈性的、確定優先順序的，并兼顧成本效益的，來管理網絡空間的安全風險方法和重要的工具。

3. 我們知道我們的廠商和第三方服務提供商給我們帶來的網絡空間風險嗎?我們知道網絡空間控制的嚴格性嗎?

正如我們在人所共知的塔吉特入侵事件所顯示出來的，第三方廠商在保護企業計算機網絡的防御系統上開了一個口子。如果第三方廠商和承包商不能給共享信息提供充分的保護，那么他們同樣會造成法律、財務和管理上的嚴重問題。如財政部副部長拉斯金所言，解決這個問題有四個方面的組成部分：了解所有能夠訪問甲方系統和數據的廠商和第三方;確保第三方在保護甲方的系統和數據方面設置了恰當的防護措施;實施持續性的監控以防止保護措施的松懈;記錄承包商的保護措施和相關責任。

4. 我們有能滿足需要的網絡風險保險嗎?

解決這個問題，是風險管理的關鍵，因為恰當的承保范圍能夠減輕網絡攻擊帶來的，與公共關系及其相關責任有關的經濟風險。然而，大部分商業責任的政策并不覆蓋網絡空間安全和數據泄露相關的損失。因此，一個新的網絡空間保險市場應運而生，以迎合這個正在增長的需求。由于這是一個相對較新的保險業務，企業需要仔細地評估他們的需求和潛在責任，以保證承保范圍滿足他們的風險需求。

5. 我們關注基礎性的網絡空間健康了嗎?

拉斯金指出，“網絡空間的健康”是指“基礎性的安全支撐和網絡及系統的承受力，”比如按時打補丁，限制具有管理權限的用戶數量，實施網絡漏洞評估等。拉斯金建議企業要關注由互聯網安全中心和國土安全部發起的“網絡空間健康活動”，該活動為企業提供提供網絡空間安全方面的建議和指導。

二、信息共享機制

網絡攻擊很少是孤立事件，尋找漏洞的作惡者通常要搶在開發者和安全人員做出響應前，盡大可能的利用漏洞獲利。例如，在最近的一次針對大型金融機構(譯者注：指摩根大通)的攻擊中，調查發現至少另有10家金融服務機構成為同一黑客組織的目標。類似的事件還有，一組名為FIN4的黑客，最近協作攻擊了許多美國的生物科技公司。

據此，共享關于威脅、漏洞和其他實時事件的知識和經驗，會給整個行業都帶來益處。另外，由于入侵是一個正在進行中的犯罪過程，FBI和其他執法部門需要獲悉有關威脅或其他攻擊的信息，而且如果能夠迅速的發布通知，可能會幫助企業及時響應或是減少網絡攻擊的損害。下面的第6個問題則是關于信息分享的重要性：

6. 我們要與行業組織共享事件信息嗎?如果答案為是的話，什么時候?如何共享?

這個問題很難回答。雖然我們知道在業內和執法部門共享信息的益處，但同時也要考慮到這樣做會產生嚴重的問題。企業必需考慮與競爭者共享敏感信息的合適限度，針對用戶數據的攻擊則會令共享信息涉及到隱私問題。另外，與執法部門共享信息更是會涉及到更為廣泛的信息披露問題。企業還必需考慮是否以及何時共享自己的客戶被黑客入侵的信息，如果處理不當，則可能引起信任危機。因此，需要一種危機發生前分析和處理問題的機制。

三、響應和恢復

網絡空間安全的威脅永遠處在變化之中，沒有任何企業能夠真正完全的避免之。因此，拉斯金敦促研究機構要集中力量于攻擊前的響應和恢復計劃上。最后的四個問題則是關于如何組織這些計劃的：

7. 我們有網絡空間事件的應對手冊嗎?誰是管理響應和恢復計劃的直接負責人?

8. 高級管理人員和董事會在管理和監管網絡空間事件響應中的角色是什么?

9. 入侵發生后，我們何時并如何與執法部門合作?

10. 網絡事件發生后，我們何時并如何通知我們的客戶、投資者，和公眾?

所有的這些問題都意味著，應對攻擊需要事先許可和具備行之有效的計劃。在發生攻擊事件之后，利益相關者的各種問題開始出現。例如，品牌管理和公共關系部門可能反對信息披露。而建立一個應對手冊，會將應對網絡攻擊引起的內部爭執、混亂和延誤等問題最小化。

四、網絡空間安全是一個行進過程

上述十個問題，為董事會和高級管理人員在評估其公司網絡安全和準備工作方面提供了一個有用的指南。然而，正如拉斯金副部長所言：“網絡空間威脅在不斷進化中，我們的警惕和安全工作也必須如此。”董事會和管理人員應當把這十個問題看作是，為了改變威脅環境而持續地重新評估和調整過程的開始，而不是一張在上面打完對勾即可的事件列表。

網絡空間事件帶給企業的后果，其嚴重性和影響范圍仍然不得而知。但是主動采取控制措施去防止、檢測和彌補網絡攻擊的企業，在嚴重的入侵事件發生后，在保護各種業務和法律風險方面將處于最有利的位置。