如果一個組織發(fā)生了網(wǎng)絡安全事件,高管們該不該背鍋?
一些網(wǎng)絡攻擊,尤其是諸如目前似乎永無止境的勒索軟件事件之類的攻擊,對組織造成了一些非常嚴重的后果,比如面向客戶的服務會突然中斷、失去生產(chǎn)力、收入和聲譽下降,更不用說補救的成本,比如支付贖金,以及可能的數(shù)據(jù)泄漏甚至是監(jiān)管罰款。但是,此類網(wǎng)絡事件不僅會造成對組織的損害,而且還會造成受害組織的人員變動。從著名的“塔吉特黑客事件”開始,到家得寶、索尼、Equifax和Imperva的黑客事件,幾位首席執(zhí)行官已經(jīng)被追究責任,并在嚴重的網(wǎng)絡事件后被迫辭職。
丟錢又丟人:塔吉特(Target)安全事件損失慘重
2013年年底,美國零售巨頭塔吉特(Target)宣布公司被黑客入侵,7000萬的用戶個人信息和4000萬的信用卡數(shù)據(jù)被盜,涉及用戶名、電話號碼、電子郵箱和信息卡信息等隱私數(shù)據(jù)。據(jù)估計塔吉特的損失可能達到10億美元,同時塔吉特還將向個人受害者支付最高10000美元的的損害賠償,并將增加數(shù)據(jù)安全保護措施。對公司內(nèi)部而言,因此安全事件,塔吉特辭退了時任CEO并重新任命一位首席信息安全官。
人們可能會認為CISO(首席信息安全官)會成為這類攻擊的主要受害者,但行業(yè)分析機構(gòu)Gartner表示,到2024年,未來的網(wǎng)絡攻擊可能會導致75%的CEO承擔“個人責任”。簡而言之,整個高管層需要為一次成功的網(wǎng)絡攻擊的后果做好背鍋準備,因為網(wǎng)絡攻擊可能會損害那些負責確保組織安全的人的業(yè)務和職業(yè)生涯。
直到最近,企業(yè)還可以將網(wǎng)絡事件和數(shù)據(jù)泄漏事件隱藏起來,遠離公眾的視線。然而,監(jiān)管的進步、公眾情緒和網(wǎng)絡攻擊的性質(zhì)改變了這一切。
HIPAA,GDPR,CCPA,NYC DFS和許多其他數(shù)據(jù)泄漏通知和隱私法規(guī)使公司無法合法地掩蓋遭受重大網(wǎng)絡事件的事實。試圖輕描淡寫的公司和個人可能會受到追究和處罰,就像Uber的前CISO一樣,他現(xiàn)在被指控妨礙司法公正。據(jù)稱,他試圖掩蓋2016年的一次黑客攻擊。Uber 2016年發(fā)生了一起重大數(shù)據(jù)泄漏事件,該事件中黑客攻擊并竊取了5700萬名Uber客戶和司機的個人數(shù)據(jù),而Uber并沒有將此事告知監(jiān)管機構(gòu),而選擇與黑客和解,支付10萬美金讓黑客保持沉默。
攻擊的性質(zhì)也發(fā)生了變化,最近幾年的勒索軟件攻擊除了加密數(shù)據(jù)外還會向全世界宣布其竊取的大量數(shù)據(jù)。如果他們的贖金要求得不到滿足,攻擊者就揚言要發(fā)布或出售被盜數(shù)據(jù)。在許多情況下,這意味著公眾幾乎肯定會意識到該事件,這時,如果受害者繼續(xù)否認該事件甚至拒絕對此發(fā)表評論,則只會進一步損害受害者的聲譽。此外,隨著公眾越來越了解關于其中保存的數(shù)據(jù)量及其敏感程度,越來越多的公司和組織被指責缺乏安全實踐。現(xiàn)在,許多消費者表示應該對組織的安全疏忽負責,最近的一項調(diào)查發(fā)現(xiàn),英國35%的消費者將CEO視為發(fā)生網(wǎng)絡事件時的首要責任人。201年奧地利飛機零部件制造商FACC公司宣布將解雇其CEO沃爾特·史蒂芬(Walter Stephan),史蒂芬由于誤信詐騙郵件而令該公司損失4700萬美元(約合人民幣3.09億元)。 監(jiān)管理事會做出這個決定是由于沃爾特·史蒂芬嚴重失職,特別是涉及到“假總裁事件”。雖然該公司并未透露關于這場騙局的更多細節(jié),但“假總裁事件”卻是企業(yè)電子郵件攻擊的標志性事件,“假總裁事件”指的是已在全世界蔓延的“CEO郵件騙局”,又稱為CEO欺詐或者釣鯨。手法是犯罪分子偽裝成公司首席執(zhí)行官或者其他高管,通過電子郵件下達虛假電匯指令。犯罪分子有時候聲稱這筆資金將用于收購對手,要求進行保密。
在其他情況下,高管也會被追究責任,因為網(wǎng)絡安全現(xiàn)在被認為是一項基本的業(yè)務運營要求。例如,2018年新加坡最大的醫(yī)療保健集團SingHealth遭受了大規(guī)模的數(shù)據(jù)泄露,暴露了150萬患者記錄。被盜記錄包括患者的姓名,地址,性別,種族,日期出生和國民登記身份證(NRIC)號碼。包括其首席執(zhí)行官Bruce Liang在內(nèi)的五名高級管理人員因?qū)ingHealth安全漏洞的“集體領導責任”而被罰款。
高管們?nèi)绾未_保組織安全的七個步驟
有責任的組織可以遵循明確定義的企業(yè)安全路徑,限制安全破壞的風險和后果。步驟如下:
1.評估你的安全狀況,第一步是評估組織的安全狀況。最高管理者(CIO,CSO,CISO)需要對組織的安全機制有清晰和最新的了解,包括人員配備水平、培訓、系統(tǒng)和程序、事件響應和業(yè)務連續(xù)性。你是否仍在依賴傳統(tǒng)的防病毒解決方案,而這些解決方案容易被當今的攻擊者所繞過?誰負責威脅搜尋,每隔多長時間搜尋一次?事件反應程序是怎樣的?在我們現(xiàn)在面臨的高度安全環(huán)境中,當從腳本小子到APT的攻擊者能夠訪問和使用復雜的惡意軟件時,必須清楚地了解你當前的安全狀況。
2.進行網(wǎng)絡風險評估,CEO和C級管理人員需要了解組織面臨的網(wǎng)絡威脅的性質(zhì),目前有許多可用于風險評估的工具,包括使用行業(yè)基準、政府和執(zhí)法機構(gòu)的建議以及威脅情報反饋。風險評估還應包括監(jiān)管和商業(yè)風險,例如由于網(wǎng)絡攻擊而導致的聲譽損失。
3.制定企業(yè)范圍的安全計劃:清楚地了解組織所面臨的威脅和當前的安全狀況,就有可能評估組織在哪些方面表現(xiàn)良好,哪些方面還有改進的空間。根據(jù)組織的風險偏好制定計劃來解決這些差距是至關重要的。該計劃應包括一個現(xiàn)代EDR平臺、事故響應和緩解能力、備份系統(tǒng)和業(yè)務連續(xù)性程序。
4.分配足夠的資源:在制定和批準安全計劃后,必須分配適當?shù)娜藛T、組織和財務資源。這很關鍵。一項計劃如果沒有人力資源和財務資源的支持,則這不是真正的計劃,而是一廂情愿的想法。如果一個計劃因為需要組織不愿意做出的結(jié)構(gòu)性改變而無法實施,那它只是一個浪費時間的想法。缺乏充分制定和批準預算的計劃則表明這是沒有真正的意愿或意圖推動變革。
5.持續(xù)進行監(jiān)督:就算有實施周密、資源充足的計劃時,也必須進行監(jiān)督并向高級管理層報告。如果一個應急計劃只是部分執(zhí)行,沒有按照預期執(zhí)行,或者在實踐中不像預期那樣,則可能比沒有計劃更糟糕。安全主管還應監(jiān)控業(yè)務運營的發(fā)展以及運營變更如何影響安全計劃。例如,突然轉(zhuǎn)移到在家工作的計劃明顯改變了組織所面臨的風險,但是有多少企業(yè)已經(jīng)更新了他們的安全計劃和解決方案來考慮到這一點呢?
6.進行外部審核:建議進行外部審核,以驗證CISO的計劃及其執(zhí)行。這樣做的好處包括無黨派,客觀地了解你的準備情況和實施情況,這不僅可以讓內(nèi)部相信你正在做正確的事情,而且還可以作為安全漏洞發(fā)生后迅速重建外部信任的重要組成部分。
7.計劃是否持續(xù):在一個完整階段的安全計劃結(jié)束時,必須評估計劃的成功與否以及決定是否繼續(xù)執(zhí)行或進行更改。許多組織認為他們已經(jīng)有了一個很好的計劃,卻發(fā)現(xiàn)在實踐中一個行動者已經(jīng)連續(xù)數(shù)月不斷地突破了他們的防御。
發(fā)生網(wǎng)絡攻擊時高管們?nèi)绾螒獙?
但衡量高管的標準不僅僅是他們的計劃和具體執(zhí)行情況,衡量它們的標準還包括它們對危機的反應,當危機來臨時,最好是按照預先設定的計劃行事。如果沒有的話,盡快引進事件反應和危機管理方面的專家。
高管們必須與董事會、員工、客戶和媒體及時公開地溝通情況,迅速、誠實和透明地做出反應的組織通常會得到以上所有人的支持。
例如,2018年美版“知乎”Quora遭黑客入侵,1億用戶受影響。首席執(zhí)行官迅速做出反應,發(fā)布了一個非常透明的博客文章,并通過電子郵件通知了所有用戶,并建立了專門的問答站點,并將最新情況通報給用戶。
總結(jié)
保護你的組織免受當今的網(wǎng)絡威脅是企業(yè)高管們的當務之急,如今,那個只需要雇用IT管理員來安裝現(xiàn)成的防病毒軟件,并在網(wǎng)絡外圍建立防火墻就完事大吉的日子已經(jīng)一去不復返了。在當今的云計算世界中,容器化的工作負載,遠程的勞動力以及令人眼花的不安全的IoT設備已經(jīng)讓網(wǎng)絡安全發(fā)生了質(zhì)變,再加上網(wǎng)絡攻擊和網(wǎng)絡攻擊者的呈指數(shù)級增長和復雜性,需要高管們付的安全責任就越來越多了。
本文翻譯自:https://www.sentinelone.com/blog/the-c-suite-guide-to-cyber-safety-7-steps-to-securing-your-organization/如若轉(zhuǎn)載,請注明原文地址。
