CISO如何避免入獄?
雅虎、優步、SolarWinds...在大洋彼岸,隨著美國政府將越來越多的CISO送上法庭,網絡安全行業開始質疑這種通過“殺CISO祭天”的方法是否真的有利于激勵更多企業提升網絡安全措施和能力。
“背鍋俠”最佳人選
2016年4月,時任美國總統奧巴馬任命優步首席安全官(CSO)Joe Sullivan進入"國家網絡安全委員會"。四年后的今天,Sullivan卻在研究如何在獄中安全度日。他原本是一位履歷特殊的網絡安全高管,職業生涯的前八年都在美國司法部步步高升,隨后五年擔任助理美國檢察官。他甚至還曾代表政府處理了首例涉及《數字千年著作權法》(DMCA)的案件:美國訴Elcom公司案。可以說,Sullivan對網絡安全法律、商業和現實的理解無人能出其右。然而,卻因為在2016年11月處理一起重大數據泄露事件不當,他至今仍在法庭上為自己辯護。
律師事務所貝克麥肯齊合伙人杰斯·Nall (Jess Nall)表示:“美國政府擁有巨大權力,可以用非常不公平的方式碾壓個人。在過去10年里,網絡安全主管以及其他信息安全專業人員(包括隱私和數據安全律師以及其他信息安全人員)在重大網絡攻擊發生時首當其沖地被推出來頂罪。”
Nall曾成功為雅虎遭受歷史性重大數據泄露事件后的員工進行辯護。現在,她將在Black Hat 2024大會上的演講中分享她的經驗教訓。她總結說,今天的企業網絡安全領導者正面臨前所未有的被大規模起訴的風險。
入獄風險嚇跑CISO人才
多年來,各國政府一直試圖通過利誘和威逼的方式讓企業更好地管理用戶數據。對此,Sullivan 在接受采訪時表示:“我認為我們現在正處于最艱難的過渡時期。”他回憶說,在他為奧巴馬政府工作時,“我們最糾結的問題是:聯邦政府如何讓企業做出更多網絡安全方面的承諾?很長一段時間以來,政府采取的做法都是公私合作伙伴關系和協作。如今的網絡安全和基礎設施安全局(CISA) 仍然在做著類似的工作。但拜登政府在2023年3 月發布的國家網絡安全政策中非常明確地表示,我們已經決定將責任轉移給那些有能力做到這一點的企業——私營部門的大型企業。”
由于美國國會的內耗,訴訟成為一種迫使企業行為端正的迂回做法。“行政部門正因網絡安全問題而備受責難,因此轉向執法行動,即可通過法律法規進行監管,也可以通過判例法進行監管。所以政府提起的所有訴訟都是在努力創造判例,” Sullivan解釋道。當然,起訴匿名組織或外國黑客對任何一方都沒有好處。“那么,為了起到威懾目的,他們想把誰樹立成典型呢?”Nall反問道。“通常是美國本土的某個人,通常是這些被攻擊的公司里的某個(負責網絡安全的)人。”
美國政府公訴人的想法非常樸素:法律嚴懲的案例會刺激那些原本誤導、疏忽或惡意安全領導者采取行動。但有人私下里表示,這種做法已經產生了一些負面影響。“網絡安全專業人員的需求已經非常強勁,我認為任何阻礙美國吸引人才的做法都是有害的。我認為人們現在對擔任CISO的職位感到擔心,”Nall說道。她補充說,當最優秀的人才對擔任領導角色感到猶豫時,“我聽說過這種情況:一些人資歷尚淺就擔任了CISO職位,被要求承擔超出他們能力范圍的工作。由于需求如此之大,擔任該職位的角色質量正在下降。我認為,所有數據安全捍衛者的質量都將下降。”
CISO能做什么?
Nall表示,避免陷入困境的關鍵在于認識三件事:政府調查如何運作,政府在調查過程中如何與公司互動,以及公司在解決案件時所面臨的利害關系。例如,在壓力之下,企業可能會被迫點名批評個人。Sullivan在訴訟中,他的律師團隊描繪了一家公司(優步)試圖重塑品牌形象,并把他當成替罪羊的畫面。“這實在令人遺憾,因為后果是由一個或幾個人來承擔,盡管確保事故不發生是一項組織內部的集體努力,”前Kroger、DIRECTV和TransUnion公司首席信息安全官 (CISO)的Karthik Swarnam說道。
為了避免成為替罪羊(這也是網絡安全專業素養之一),CISO應建立清晰穩固的溝通渠道,將其他董事會成員納入網絡安全決策過程。
“首先,您需要建立一個企業風險委員會,明確定義每個人的角色和職責,”Swarnam建議道,并補充說,“風險管理需要兩件事:將風險傳達給正確的人和正確的組織,并與他們合作制定解決問題的計劃。”
Nall和 Sullivan都同意,溝通和協作是安全領導者在最壞情況下可以依靠的安全網。“歸根結底,所有這些案件的共同點都是:跨職能團隊之間的溝通沒有達到應有的程度,”Nall說。“首當其沖的不是律師、高管或董事會,而是信息安全人員。”
以下是一些法律和安全專家給出的風險管理建議,可幫助安全領導者避免成為網絡安全事故的替罪羊:
- 確保您對組織的網絡安全風險和威脅有一個清晰的理解。
- 制定并實施有效的網絡安全策略和程序。
- 定期培訓和教育員工加強網絡安全意識。
- 及時有效地響應安全事件。
- 與執法部門和其他政府機構建立良好的關系。
- 保留所有相關文檔和通信記錄。
遵循以上建議可以幫助安全領導者降低被起訴或入獄的風險。但需要注意的是,即使采取了所有正確措施,也無法完全消除風險。網絡安全是一個極其復雜的領域,威脅不斷發展變化,安全領導者始終面臨著巨大的不確定性壓力。
最終,保護企業免受網絡攻擊的最佳方法是建立強大的安全文化,并將網絡安全置于所有決策的中心。這需要整個組織的共同努力,包括高管、員工和安全領導者。CISO的關鍵任務之一就是“讓網絡安全成為所有人的責任。”
總結
今天,包括CISO/CSO在內的網絡安全領導者面臨著越來越大的風險,甚至可能因網絡安全事故而被起訴或入獄。為了降低這種風險,安全領導者需要采取主動措施,了解政府調查如何運作、政府如何與公司互動以及公司在解決案件時所面臨的利害關系。CISO還應該建立清晰穩固的溝通渠道,并制定有效的網絡安全計劃。
