你将读到关于网络安全威胁的故事是真实的;考虑到尊重当事人的隐私,只有人名和地点做了改动。当这件事发生时,我30年职业生涯的辉煌部分都在处理大规模、复杂的全球运营和技术,并且认为我已经看到听到太多,即便不是全部。
我当时在BigWorldBank担任全球消费者集团的CIO已经两周了。负责运营、技术健壮,以支持分布在54个国家的约20万员工和1.5亿客户。行政上我负责大概25亿的年度预算。在最初的两周里,我竟然时而会感觉几乎一切尽在我掌握。
不知是谁说过在一个新的执行角色里,你有100天的时间来找到你的腿并建立你自己。他显然不是一名CIO。
电话
在我上任第二周周五下午晚些时候,电话突然响起。Sonali Kumar是Kafiristan旗舰店的经理,他打来电话询问一个问题。我瞟了一眼手表,注意到是纽约时间下午5:45,意味着他那里是周六早上4:45。我有种不祥的预感——我的第一个100天就在此刻终结了。
“一个顾客打电话来告知他发现了我们在线银行系统的一个安全漏洞。”Kumar说到。“他把自己用的技术录制成了视频,愿意把视频移交给我们,希望能因为他的付出获得一笔咨询费用。我们该怎么办?”
我当时就感到心脏急速跳动,喉咙发干。这是一个网络安全威胁。我忙问他是否见过该顾客或看过那个视频。他表明还没有。意外收获的是,我抬起头,正看到Fred Simon(中东业务区域的业务领导)路过我门口。我让Sonali别挂电话,叫住Fred,并迅速解释了下情况。他建议我命令Sonali在当地报警,并告知警察我们分行的安全性被破坏,然后转身离开我的办公室,正如他出现时一样快。
我琢磨了会Sonali的建议,思考了另外两个注意事项:首先,把顾客关进监狱不像是银行提供的优质服务,尤其在Kafiristan这个司法系统还常用鞭刑的地方。其次,如果我们把这人抓起来,我们可能永远也无法找到他在我们在线系统里发现的安全漏洞。我回到电话旁,指挥Sonali邀请该顾客会面,并通过友好的交谈弄清他到底发现了什么。另外,我还阐明咨询费(任何一种付款方式)不在讨论范围内。我们同意等Sonali与顾客谈完再沟通。
扩大
每一个程序,任何网络安全威胁都需要升级,于是我接着打电话给我的老板,公司CEO。我简明扼要地向她阐述了这个情况,然后我们达成一致——我会整个周末都跟进Kafiristan的团队,协调网络安全和风险管理团队,在周一早上向她报告最新进展。最后我祝她周末愉快。
然后,我协调开了一个会议,参会人员有我的CISO,全球风险管理领导和BigWorldBanking在线技术负责人。我简要告诉他们我对网络安全威胁知识的局限性,我们讨论了当前已知的在线银行问题(通常总会有一些)以确认是否有可能我们正在处理的是已知的漏洞。基于已知的事实,我们一致认为,目前没有足够的信息来得出任何结论。
15小时以后
我的电话在周六凌晨3点响起,对应Kafiristan的下午2点钟。是Sonali来汇报最新的进展。距离网络安全事故发生,已过去15小时。
Sonali先为吵醒我感到抱歉,然后告诉我他已经跟那位顾客沟通过,顾客同意进行私人会面,并当场揭示他发现的漏洞。没有进一步提到咨询费用。
我谢谢Sonali提供了最新进展,并要他在私人会面结果出来后给我打电话。我感到有点被激励了,似乎情况正朝好的方向发展。我能得再睡一会了。
视频
周六晚上10点(Kafiristan周日早上9点),Sonali打电话来告知我,他已经跟那位顾客会面了,也看了视频,并且从顾客那得到了一份拷贝。谢天谢地,仍然没有谈论到咨询费或者其他形式的酬劳。我表扬Sonali在处理这种情况时所表现出来的专业技巧,并让他给我发一份拷贝。半小时后,我正抱着极大的兴趣观看该视频。我看到的是一个相当典型的BigWorldBanking在线对话,一切都看起来很正常。
接着,我看到顾客完成交易后,没有退出登录,而是简单地通过点击右上角的“X”关闭在线银行窗口(不是浏览器)。然后他打开浏览器历史窗口,找到刚才他浏览的在线银行会话的网址,当他点击该网页地址时,“好像施了魔法”,浏览器重新打开了他刚刚离开的页面。
这就是那个顾客起初要求咨询费的所谓漏洞吗?为确保万无一失,我打电话给Sonali以回顾和确认我对正在观看的视频的理解。我的理解是对的。那名顾客发现的并不是漏洞,而是浏览器的工作机制:关闭一个窗口,然后它消失,打开同一个的窗口,然后它出现了。
我给CISO,全球风险管理领导和BigWorldBanking在线技术负责人发了一份视频拷贝,以征询他们的检查和评估。网络安全威胁惊吓、结束。
结果
周日早上跟我团队的跟进电话中,我们再次确认没有发生任何安全漏洞,因为没有个人身份认证信息显示出来。如果客户没有重新输入他的密码,就不会执行任何金融交易。如果窗口被关闭超过30秒,顾客的在线对话会自动超时。我谢谢我的团队,并结束了通话。我决定放松并享受夏季美丽的一天的剩余时光。
第二天早上,按原定计划,我面见老板,给她陈述了情况。我们都放下心来,尤其是我,没有因为这个事情就把顾客关进监狱。相反,我们决定送他一个46英寸的平板电视作为礼物,以奖励他的高度配合,以及他想帮助我们改进产品和服务的主动性。
处理这种潜在网络威胁事故让我吸取了几个经验教训:当你需要作出重大决定时,尤其涉及到客户和监狱时,一定要了解真实情况后再作出重大行动;当你觉得你已经见识过所有东西时,请三思。
本文转自d1net(转载)