在2014年索尼影視攻擊事件后，有消息稱在攻擊之前，索尼高管曾收到勒索郵件。這突出表明，高管和行政管理員應該要了解如何應對這些情況。當企業遭遇電子郵件敲詐事故時，該采取怎樣的措施來應對呢?員工應該做什么、不應該做什么、應該與誰聯系等……

[[140630]]

企業是否應該為被劫持的信息或計算機支付贖金?在倫理上來看，答案是否定的。而在實際角度來看，基于資產的重要性，你可能不得不這樣做。如果你不支付贖金，將可能對你企業的可行性、聲譽或財務狀況產生不利影響，那么你就沒有別的選擇。如果企業可以接受這種業務損失，那么就不應該支付贖金，并應集中注意來遏制和防止這種事件的再次發生。

在高管或行政管理員收到包含贖金要求的勒索電子郵件時，首先，他們不應該回復電子郵件。雖然這個道理很簡單，但敲詐或威脅電子郵件的收件人畢竟是有情感的人類，例如恐懼和恐慌，他們可能對郵件做出回應，而這會使局勢更加惡化。下面讓我們看看不應該做的事情的清單：

• 不要回復這種電子郵件

• 不要驚慌

• 不要刪除該電子郵件

• 不要點擊該電子郵件中的任何圖片或鏈接

• 不要保存該電子郵件到你的硬盤驅動器或外部存儲設備，例如USB驅動器

• 不要將該電子郵件轉發給企業內部或外部的任何人

• 不要向高管保密該電子郵件

• 不要打電話、發郵件或使用社交媒體告訴朋友或同事這件事情

• 不要馬上致電當地執法部門、FBI或特勤局

你需要立即做的事情是告知你公司的CSIRT(計算機安全事件響應小組)。如果企業沒有CSIRT，則應該開始進行收集和測試。隨后，CSIRT可以快速判斷事故的嚴重程度以采取措施來遏制、整治和控制事故。CSIRT通常會聯系高層管理人員，但如果事故涉及高管或者他們的行政助理，CSIRT則會打電話給指定的高級管理人員或CISO來開始進行調查。

根據事件的嚴重程度，CSIRT領導和管理人員將判斷他們是否應該致電本地和/或聯邦執法部門。CSIRT通話清單應該包含所有現有執法部門聯系人姓名和電話號碼。

雖然高管網絡安全培訓是經常會討論的話題，并且在美國企業董事協會(NACD)、世界經濟論壇、克林頓全球倡議、《財富》婦女峰會和《華爾街日報》CEO大會等高管會議中也常提到這個話題，但現在仍然沒有正式的可行的高管網絡安全培訓。

我們很難讓高層管理人員坐下來接受培訓，即使是針對網絡安全。不過，這種情況正在迅速改變。現在高管開始意識到，在數據泄露事故、黑客攻擊或重大安全事件后，糟糕的安全機制可能讓他們承擔個人責任，并受到經濟處罰或監禁。

如果網絡安全成為董事會經常談論的話題，高管將會開始關注網絡安全問題。網絡安全應該整合到董事會討論話題，作為開展業務的正常部分。現在有很多不同的方法來整合安全討論與典型的圓桌討論會，例如上市公司確定網絡安全風險是否應該涵蓋在提交給證券交易委員會的10-K表格的風險因素披露中，或者高級管理層需定期向董事會報告企業的網絡安全、企業安全管理和合規性狀態。

在筆者看來，網絡安全培訓是CISO的責任。高管需要關注很多不同的事情，當事故發生時，例如電子郵件敲詐勒索或數據泄露事故，他們應該深喑事件響應協議。否則，他們會讓自己陷入困境，并且，應對危機的響應將是被動的、沖動的，總是帶來不利的影響。

不要排除高層管理人員和行政工作人員。在勒索事件中，他們應該在第一時間知道怎么做，這一點至關重要。同時，網絡安全應該作為董事會的討論話題，以提高和保持安全意識。圍繞網絡安全的話題應該包括網絡安全保險、網絡安全政策、當前網絡安全事件場景以及它們對企業的影響。請確保在網絡安全的討論中所有高管及其行政助理都有出席。