監(jiān)管機構向國會通報重大信息安全事件

美國貨幣監(jiān)理署(OCC，Office of the Comptroller of the Currency)周二向國會通報了一起涉及系統(tǒng)管理賬戶的"異常交互"事件。OCC是美國財政部的獨立機構，負責特許、監(jiān)管和監(jiān)督所有美國國家銀行。

根據(jù)一份聲明，OCC已按照《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)要求，向國會通報了這起被定性為"重大信息安全事件"的情況。聲明指出："這一發(fā)現(xiàn)是基于對OCC電子郵件及附件進行的內部和獨立第三方審查結果，這些郵件遭到了未經(jīng)授權的訪問。2025年2月11日，OCC發(fā)現(xiàn)其辦公自動化環(huán)境中的系統(tǒng)管理賬戶與用戶郵箱之間存在異常交互。"

事件響應與處置過程

2025年2月12日，OCC確認該活動屬于未授權行為，立即啟動了事件響應協(xié)議，包括委托獨立第三方進行事件評估，并向網(wǎng)絡安全和基礎設施安全局(CISA)報告。同日，OCC禁用了遭入侵的管理賬戶，確認未授權訪問已被終止。OCC于2月26日向公眾發(fā)布了事件通告。

周二公布的一份報告顯示："2023年6月入侵財政部貨幣監(jiān)理署的未知攻擊者獲取了超過15萬封電子郵件的訪問權限。"加拿大安全意識培訓提供商Beauceron Security負責人David Shipley對此表示，對OCC和整個國家銀行業(yè)來說，最好的情況可能是"非常、非常、非常幸運"，如果這只是一次國家行為體進行的間諜和準備工作的話。

Shipley指出，最壞的情況是OCC監(jiān)管的一家或多家實體因郵件泄露而遭到入侵。"這令人震驚，而且正值美國在改善網(wǎng)絡安全方面所做的良好工作面臨巨大壓力之際，既要限制監(jiān)管成果和洞察力，又要調配資源應對此類事件。"

專家警示與深層反思

Shipley補充道："如果這都不能說明美國需要立即調轉方向，加大對關鍵基礎設施保護的投資，我不知道還有什么能說明問題。我們絕對需要一份完整、透明的事件報告，以便從中吸取教訓。"他指出，OCC作為監(jiān)管機構的事實"并不意味著它獲得了足夠的資源來保護自己。我認為需要提出一個重要問題：這些極其重要的機構是否獲得了足夠的資源來自我保護？很可能，如果你深入調查，會發(fā)現(xiàn)IT團隊資源極度緊張，工作過度，保護自身的資金不足。這極具諷刺意味，但對我來說并不意外。"

關于事件主謀，Shipley表示："敢于針對財政部的攻擊者真的非常大膽。要知道，這里可是特勤局的駐地，而特勤局負責調查金融網(wǎng)絡犯罪。你這是在招惹地球上資源最雄厚的機構之一。但這說明了一些問題：有人覺得有足夠膽量實施這次攻擊，而且長期未被發(fā)現(xiàn)，這應該讓人們感到恐懼。"

OCC官方回應與安全措施

OCC發(fā)言人周二晚間在一份電子郵件聲明中表示，該機構是在代理貨幣監(jiān)理署長Rodney E. Hood宣誓就職的第二天發(fā)現(xiàn)郵件系統(tǒng)遭到未授權訪問的。2月25日，Hood"收到了關于此事的高層簡報，OCC于次日向公眾發(fā)布了事件通告。當時，Hood先生尚未獲得關于未授權訪問的完整持續(xù)時間，以及受影響電子郵件通信的具體數(shù)量和內容的詳細信息。"發(fā)言人指出，OCC已聘請第三方網(wǎng)絡安全專家對調查和取證工作進行全面審查。

發(fā)言人表示："OCC運行著全面的信息安全和網(wǎng)絡保護計劃，以保護其關鍵信息資源，包括其保管的敏感金融機構信息。"該機構實施的安全和隱私控制措施達到或超過了美國國家標準與技術研究院(NIST)的標準，并持續(xù)評估這些控制措施的有效性。