上月初,美国财政部副部长萨拉·布鲁姆·拉斯金(Sarah Bloom Raskin)在德克萨斯银行家协会上发表了关于网络安全规划和准备重要性的讲话。在讲话中,美国财政部会同证券交易委员会(SEC)、联邦贸易委员会(FTC)、联邦通信委员会(FCC)以及其他监管机构,表达了网络安全必将成为金融服务机构高管的头等大事,网络安全可能给社会经济带来比恐怖主义还要大的威胁。因为大型金融机构如果发生严重的入侵事件,会引起用户的信任危机,进而导致金融服务机构的瘫痪。
拉斯金向金融机构的高管和董事提出了十个需要解决的实际问题,以评估各自相应机构的网络安全工作。尽管这些问题是面向金融行业提出的,但它们同样适用于各个领域,并为各行各业的领导人提供了一个坚实的网络空间安全规划的框架。
一、基础保护措施的评估
前5个问题集中在机构的基础保护措施方面,即企业已经建立起来的安全方面的政策、流程和控制。
1. 网络空间风险是否属于当前风险管理框架中的一部分?
2. 我们遵循国家标准和技术研究所(NIST)的《关键基础设施网络空间安全框架》了吗?
正如当前大量的网络攻击事件所证明,网络安全已经不只是信息系统本身的问题,它已经是一个至关重要的运营风险问题,因此是商业领导人需要解决的问题。对于评估机构本身的网络安全措施和基础设施的管理者来说,NIST的网络安全框架就是用来提供一个弹性的、确定优先顺序的,并兼顾成本效益的,来管理网络空间的安全风险方法和重要的工具。
3. 我们知道我们的厂商和第三方服务提供商给我们带来的网络空间风险吗?我们知道网络空间控制的严格性吗?
正如我们在人所共知的塔吉特入侵事件所显示出来的,第三方厂商在保护企业计算机网络的防御系统上开了一个口子。如果第三方厂商和承包商不能给共享信息提供充分的保护,那么他们同样会造成法律、财务和管理上的严重问题。如财政部副部长拉斯金所言,解决这个问题有四个方面的组成部分:了解所有能够访问甲方系统和数据的厂商和第三方;确保第三方在保护甲方的系统和数据方面设置了恰当的防护措施;实施持续性的监控以防止保护措施的松懈;记录承包商的保护措施和相关责任。
4. 我们有能满足需要的网络风险保险吗?
解决这个问题,是风险管理的关键,因为恰当的承保范围能够减轻网络攻击带来的,与公共关系及其相关责任有关的经济风险。然而,大部分商业责任的政策并不覆盖网络空间安全和数据泄露相关的损失。因此,一个新的网络空间保险市场应运而生,以迎合这个正在增长的需求。由于这是一个相对较新的保险业务,企业需要仔细地评估他们的需求和潜在责任,以保证承保范围满足他们的风险需求。
5. 我们关注基础性的网络空间健康了吗?
拉斯金指出,“网络空间的健康”是指“基础性的安全支撑和网络及系统的承受力,”比如按时打补丁,限制具有管理权限的用户数量,实施网络漏洞评估等。拉斯金建议企业要关注由互联网安全中心和国土安全部发起的“网络空间健康活动”,该活动为企业提供提供网络空间安全方面的建议和指导。
二、信息共享机制
网络攻击很少是孤立事件,寻找漏洞的作恶者通常要抢在开发者和安全人员做出响应前,尽大可能的利用漏洞获利。例如,在最近的一次针对大型金融机构(译者注:指摩根大通)的攻击中,调查发现至少另有10家金融服务机构成为同一黑客组织的目标。类似的事件还有,一组名为FIN4的黑客,最近协作攻击了许多美国的生物科技公司。
据此,共享关于威胁、漏洞和其他实时事件的知识和经验,会给整个行业都带来益处。另外,由于入侵是一个正在进行中的犯罪过程,FBI和其他执法部门需要获悉有关威胁或其他攻击的信息,而且如果能够迅速的发布通知,可能会帮助企业及时响应或是减少网络攻击的损害。下面的第6个问题则是关于信息分享的重要性:
6. 我们要与行业组织共享事件信息吗?如果答案为是的话,什么时候?如何共享?
这个问题很难回答。虽然我们知道在业内和执法部门共享信息的益处,但同时也要考虑到这样做会产生严重的问题。企业必需考虑与竞争者共享敏感信息的合适限度,针对用户数据的攻击则会令共享信息涉及到隐私问题。另外,与执法部门共享信息更是会涉及到更为广泛的信息披露问题。企业还必需考虑是否以及何时共享自己的客户被黑客入侵的信息,如果处理不当,则可能引起信任危机。因此,需要一种危机发生前分析和处理问题的机制。
三、响应和恢复
网络空间安全的威胁永远处在变化之中,没有任何企业能够真正完全的避免之。因此,拉斯金敦促研究机构要集中力量于攻击前的响应和恢复计划上。最后的四个问题则是关于如何组织这些计划的:
7. 我们有网络空间事件的应对手册吗?谁是管理响应和恢复计划的直接负责人?
8. 高级管理人员和董事会在管理和监管网络空间事件响应中的角色是什么?
9. 入侵发生后,我们何时并如何与执法部门合作?
10. 网络事件发生后,我们何时并如何通知我们的客户、投资者,和公众?
所有的这些问题都意味着,应对攻击需要事先许可和具备行之有效的计划。在发生攻击事件之后,利益相关者的各种问题开始出现。例如,品牌管理和公共关系部门可能反对信息披露。而建立一个应对手册,会将应对网络攻击引起的内部争执、混乱和延误等问题最小化。
四、网络空间安全是一个行进过程
上述十个问题,为董事会和高级管理人员在评估其公司网络安全和准备工作方面提供了一个有用的指南。然而,正如拉斯金副部长所言:“网络空间威胁在不断进化中,我们的警惕和安全工作也必须如此。”董事会和管理人员应当把这十个问题看作是,为了改变威胁环境而持续地重新评估和调整过程的开始,而不是一张在上面打完对勾即可的事件列表。
网络空间事件带给企业的后果,其严重性和影响范围仍然不得而知。但是主动采取控制措施去防止、检测和弥补网络攻击的企业,在严重的入侵事件发生后,在保护各种业务和法律风险方面将处于最有利的位置。
作者:王小瑞
来源:51CTO