在Uber前首席安全官約瑟夫·沙利文（Joseph Sullivan）被判八年后，CSO們會人人自危嗎？

2022年10月，美國聯邦法院陪審團對Uber前首席安全官約瑟夫·沙利文一案作出裁定——沙利文曾試圖向美國聯邦貿易委員會（FTC）隱瞞Uber在2016年的數據泄露事件。據悉，沙利文被裁定為妨礙司法公正罪和隱瞞罪行罪，可能面臨最高5年和最高3年的監禁。

雖然不少人對于沙利文可能會遭受牢獄之災早有預感，但當判決正式落地時，依舊引起了諸多業界人士的關注和討論。從公開的信息來看，這是美國首例因“支付網絡安全贖金”導致企業CSO被公開起訴、宣判的案件。但可以肯定的是，Uber絕不是第一家以“漏洞賞金計劃”來掩蓋數據泄露問題的企業。

對于CSO來說，一邊是掩蓋企業數據泄露丑聞，一邊是被發現后被判入獄，究竟該如何選擇，未來是否將會戰戰兢兢，如履薄冰？許多法律和安全專家表示，“大可不必”。

企業遭遇勒索事件不算少數，而首席安全官被追責、判刑的情況比較罕見，普遍的情況是首席安全官引咎辭職。密碼學家喬恩·卡拉斯（Jon Callas）曾經調侃，CISO的全稱是首席入侵替罪羊官（Chief Intrusion Scapegoat Officer），“CSO經常處于一個無法成功的位置，他們負責一切安全事務，卻又無能為力，因為他們知道應該做什么來降低風險，但得不到足夠支持?！?/p>

在這種困境下，幾乎90%的首席信息安全管認為自己處于中度或高度壓力之下，許多人經常換工作。根據 Heidrick & Struggles 2022 年全球調查，近四分之一的 CSO 任職不到兩年，62% 的首席信息安全官任職不到一年。

安全專家建議，首席信息安全官最好在內部發起和維護事件響應手冊，涵蓋組織技術響應、詳細說明與業務操作和流程的協調、危機管理和法律應對。手冊有助于企業的安全團隊和法律團隊按照政策和程序共同應對安全事件，確保該做什么、什么時候做。如果安全事件應對不當，與相應手冊背道而馳，則它很可能成為一份“入獄指南”。

Uber遭遇勒索攻擊

10月8日，Uber前安全主管約瑟夫·沙利文因涉嫌參與掩蓋2016年黑客針對Uber公司的安全攻擊，被美國聯邦法院以妨礙司法罪和故意隱瞞重罪分別判處五年監禁和三年監禁。

約瑟夫·沙利文于2015年4月至2017年11月在Uber擔任首席安全官。2016年，Uber收到一封匿名郵件，郵件稱發現了Uber的安全漏洞，能利用其數字密鑰進入公司的亞馬遜數據庫，查看并提取5700萬Uber乘客和司機的未加密備份數據。

沙利文和團隊收到郵件后和黑客溝通，打算以Uber漏洞賞金計劃的形式向黑客支付最高一萬美元的報酬，作為交換條件，黑客需刪除相關數據。但雙方未能達成一致，黑客要求報酬不低于六位數，并威脅公開相關數據。在后續的長期溝通下，雙方以10萬美元的價格達成交易，沙利文要求對方銷毀盜取的數據，且對該行為保密。

但事與愿違，這起事件最終還是被曝光，涉事的兩名黑客被逮捕并供出了該事件。在聯邦貿易委員會（FTC）對Uber調查時，沙利文將該事件偽裝成漏洞賞金，向委員會提供虛假宣誓證詞，謊稱對方沒有竊取數據。2020年9月，沙利文被起訴，基于上述表現，陪審團認定他妨礙司法罪和故意隱瞞最成立。

據了解，FTC在2014年Uber違規事件（10萬名司機的姓名和車牌數據泄露）發生后一直在密切關注這家公司的數據安全性。2018年9月，Uber支付了1.48億美元來解決美國所有50個州和華盛頓特區的索賠，即披露黑客攻擊的速度太慢。

但面對越來越多的黑客攻擊，企業開始自顧不暇。加密貨幣的出現愈加方便勒索軟件攻擊者行兇，由于加密貨幣自身的隱匿特性，對貨幣資金去向進行加密，使得收款者身份得以保密，大大降低了被溯源追蹤的風險，所以近些年勒索軟件運營者傾向于使用加密貨幣交易。

安全公司 SonicWall 11月初發布了《 2022 年網絡威脅報告》，勒索攻擊在經歷連續兩年的增長后終于來到拐點開始下降，2022 年上半年共報告了 2.361 億次勒索軟件攻擊，同比下降23%，但 2022 年上半年的數量仍然高于 2017 年、2018 年和 2019 年各年的全年總數。

在全球發生的勒索攻擊中，醫療保健行業最易受到勒索軟件攻擊，每 42 個企業中就有一個受到勒索軟件的影響，同比增長5%。

支付贖金還是報案披露？

安全公司CyberEdge Group針對全球1000家企業進行的一項調查研究發現，在遭受勒索攻擊的企業中，大約有40%的公司支付了贖金，但在這支付贖金的公司中，僅有一半左右的公司最終拿回了自己的數據。

那么，當勒索攻擊發生后，是選擇支付贖金還是報案？從數據來看，支付贖金的企業，經濟損失反而可能更大。IBM發布的《2022數據泄露成本報告》顯示，發生數據泄露事件時，選擇支付勒索軟件贖金的企業只比拒付贖金企業的平均成本少 61  萬美元，但這其中并未將贖金成本考慮進去，如果將高昂的贖金（Sophos數據顯示，2021 年平均贖金高達 81.2  萬美元）納入成本考量，交付贖金的受害企業其經濟損失可能會更大。更何況，支付贖金后，威脅者不一定會解密數據，也不一定會刪除所盜取的數據，甚至有可能進行二次勒索，業內稱為雙重勒索。

其次，支付贖金還有可能面臨制裁風險。美國財政部外國資產控制辦公室(OFAC)10月1日發布一項建議《Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments》，警告向勒索攻擊者支付贖金可能面臨制裁和處罰風險，因為許多勒索組織位列美國的制裁名單，支付贖金被視為對勒索組織的潛在經濟支持。

在國內，自2018年起，公安機關在“凈網2018”專項行動中針對各種網絡亂象開始實行“一案雙查”制度，即在對網絡違法犯罪案件開展偵查調查工作時，同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監督檢查。

由于報案后會“一案雙查”，許多企業傾向于不披露網絡攻擊事件。但《網絡安全法》第25條規定，網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。 所以法條并不提倡支付贖金，反而應急預案是企業應該重視的環節。

CSO應該如何避免被“逮捕”

作為CSO，如何帶領安全團隊建設企業安全、危機管理、安全運營，如何避免被“逮捕”？首先，前置條件就是深入理解業務，作為企業安全建設帶頭人，應該對所在企業的業務有深入了解，了解企業核心業務架構、業務流程、業務技術團隊等。了解上述信息有助于建設更貼合業務的企業安全體系。

其次是安全風險管理，傳統的風險管理主要參考ISO13335、COSO-ERM等標準體系，這些體系成熟、復用性強，但對于高速發展的互聯網企業來說，容易出現風險評估結果和實際狀況出入較大，與業務場景契合度低等情況。對于CSO來說，安全風險管理可以吸取成熟標準體系的長處，再結合實際業務部署風險管理方案，識別業務風險場景，分解技術方案、落地安全實踐。

再者是安全運營，很多情況下勒索攻擊或者供應鏈攻擊等引起嚴重后果的安全事件，都是因為信息系統存在漏洞或后門，這時安全運營的重要性愈發凸顯。做好安全運營，從源頭上減少企業面臨勒索的幾率。安全運營的兩個重要衡量指標MTTD（平均檢測時間）和MTTR（平均響應時間），能夠反映安全團隊的感知發現能力和管控處置能力，做好安全運營也是CSO工作的一大重點。

CSO能力要素雷達圖

其實，要成為優秀的CSO需要具備很多能力，成為“全能型”選手。但現實中大家各有所長，能力并未達到面面俱到的程度，那么CSO可以從全局著手，協調各方資源識人善用，結合業務拿出最適合企業的安全建設方案，保護企業遠離安全風險。