上月初，美國財政部副部長薩拉·布魯姆·拉斯金(Sarah Bloom Raskin)在德克薩斯銀行家協(xié)會上發(fā)表了關(guān)于網(wǎng)絡(luò)安全規(guī)劃和準備重要性的講話。在講話中，美國財政部會同證券交易委員會(SEC)、聯(lián)邦貿(mào)易委員會(FTC)、聯(lián)邦通信委員會(FCC)以及其他監(jiān)管機構(gòu)，表達了網(wǎng)絡(luò)安全必將成為金融服務機構(gòu)高管的頭等大事，網(wǎng)絡(luò)安全可能給社會經(jīng)濟帶來比恐怖主義還要大的威脅。因為大型金融機構(gòu)如果發(fā)生嚴重的入侵事件，會引起用戶的信任危機，進而導致金融服務機構(gòu)的癱瘓。

[[125631]]

拉斯金向金融機構(gòu)的高管和董事提出了十個需要解決的實際問題，以評估各自相應機構(gòu)的網(wǎng)絡(luò)安全工作。盡管這些問題是面向金融行業(yè)提出的，但它們同樣適用于各個領(lǐng)域，并為各行各業(yè)的領(lǐng)導人提供了一個堅實的網(wǎng)絡(luò)空間安全規(guī)劃的框架。

一、基礎(chǔ)保護措施的評估

前5個問題集中在機構(gòu)的基礎(chǔ)保護措施方面，即企業(yè)已經(jīng)建立起來的安全方面的政策、流程和控制。

1. 網(wǎng)絡(luò)空間風險是否屬于當前風險管理框架中的一部分?

2. 我們遵循國家標準和技術(shù)研究所(NIST)的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)空間安全框架》了嗎?

正如當前大量的網(wǎng)絡(luò)攻擊事件所證明，網(wǎng)絡(luò)安全已經(jīng)不只是信息系統(tǒng)本身的問題，它已經(jīng)是一個至關(guān)重要的運營風險問題，因此是商業(yè)領(lǐng)導人需要解決的問題。對于評估機構(gòu)本身的網(wǎng)絡(luò)安全措施和基礎(chǔ)設(shè)施的管理者來說，NIST的網(wǎng)絡(luò)安全框架就是用來提供一個彈性的、確定優(yōu)先順序的，并兼顧成本效益的，來管理網(wǎng)絡(luò)空間的安全風險方法和重要的工具。

3. 我們知道我們的廠商和第三方服務提供商給我們帶來的網(wǎng)絡(luò)空間風險嗎?我們知道網(wǎng)絡(luò)空間控制的嚴格性嗎?

正如我們在人所共知的塔吉特入侵事件所顯示出來的，第三方廠商在保護企業(yè)計算機網(wǎng)絡(luò)的防御系統(tǒng)上開了一個口子。如果第三方廠商和承包商不能給共享信息提供充分的保護，那么他們同樣會造成法律、財務和管理上的嚴重問題。如財政部副部長拉斯金所言，解決這個問題有四個方面的組成部分：了解所有能夠訪問甲方系統(tǒng)和數(shù)據(jù)的廠商和第三方;確保第三方在保護甲方的系統(tǒng)和數(shù)據(jù)方面設(shè)置了恰當?shù)姆雷o措施;實施持續(xù)性的監(jiān)控以防止保護措施的松懈;記錄承包商的保護措施和相關(guān)責任。

4. 我們有能滿足需要的網(wǎng)絡(luò)風險保險嗎?

解決這個問題，是風險管理的關(guān)鍵，因為恰當?shù)某斜７秶軌驕p輕網(wǎng)絡(luò)攻擊帶來的，與公共關(guān)系及其相關(guān)責任有關(guān)的經(jīng)濟風險。然而，大部分商業(yè)責任的政策并不覆蓋網(wǎng)絡(luò)空間安全和數(shù)據(jù)泄露相關(guān)的損失。因此，一個新的網(wǎng)絡(luò)空間保險市場應運而生，以迎合這個正在增長的需求。由于這是一個相對較新的保險業(yè)務，企業(yè)需要仔細地評估他們的需求和潛在責任，以保證承保范圍滿足他們的風險需求。

5. 我們關(guān)注基礎(chǔ)性的網(wǎng)絡(luò)空間健康了嗎?

拉斯金指出，“網(wǎng)絡(luò)空間的健康”是指“基礎(chǔ)性的安全支撐和網(wǎng)絡(luò)及系統(tǒng)的承受力，”比如按時打補丁，限制具有管理權(quán)限的用戶數(shù)量，實施網(wǎng)絡(luò)漏洞評估等。拉斯金建議企業(yè)要關(guān)注由互聯(lián)網(wǎng)安全中心和國土安全部發(fā)起的“網(wǎng)絡(luò)空間健康活動”，該活動為企業(yè)提供提供網(wǎng)絡(luò)空間安全方面的建議和指導。

二、信息共享機制

網(wǎng)絡(luò)攻擊很少是孤立事件，尋找漏洞的作惡者通常要搶在開發(fā)者和安全人員做出響應前，盡大可能的利用漏洞獲利。例如，在最近的一次針對大型金融機構(gòu)(譯者注：指摩根大通)的攻擊中，調(diào)查發(fā)現(xiàn)至少另有10家金融服務機構(gòu)成為同一黑客組織的目標。類似的事件還有，一組名為FIN4的黑客，最近協(xié)作攻擊了許多美國的生物科技公司。

據(jù)此，共享關(guān)于威脅、漏洞和其他實時事件的知識和經(jīng)驗，會給整個行業(yè)都帶來益處。另外，由于入侵是一個正在進行中的犯罪過程，F(xiàn)BI和其他執(zhí)法部門需要獲悉有關(guān)威脅或其他攻擊的信息，而且如果能夠迅速的發(fā)布通知，可能會幫助企業(yè)及時響應或是減少網(wǎng)絡(luò)攻擊的損害。下面的第6個問題則是關(guān)于信息分享的重要性：

6. 我們要與行業(yè)組織共享事件信息嗎?如果答案為是的話，什么時候?如何共享?

這個問題很難回答。雖然我們知道在業(yè)內(nèi)和執(zhí)法部門共享信息的益處，但同時也要考慮到這樣做會產(chǎn)生嚴重的問題。企業(yè)必需考慮與競爭者共享敏感信息的合適限度，針對用戶數(shù)據(jù)的攻擊則會令共享信息涉及到隱私問題。另外，與執(zhí)法部門共享信息更是會涉及到更為廣泛的信息披露問題。企業(yè)還必需考慮是否以及何時共享自己的客戶被黑客入侵的信息，如果處理不當，則可能引起信任危機。因此，需要一種危機發(fā)生前分析和處理問題的機制。

三、響應和恢復

網(wǎng)絡(luò)空間安全的威脅永遠處在變化之中，沒有任何企業(yè)能夠真正完全的避免之。因此，拉斯金敦促研究機構(gòu)要集中力量于攻擊前的響應和恢復計劃上。最后的四個問題則是關(guān)于如何組織這些計劃的：

7. 我們有網(wǎng)絡(luò)空間事件的應對手冊嗎?誰是管理響應和恢復計劃的直接負責人?

8. 高級管理人員和董事會在管理和監(jiān)管網(wǎng)絡(luò)空間事件響應中的角色是什么?

9. 入侵發(fā)生后，我們何時并如何與執(zhí)法部門合作?

10. 網(wǎng)絡(luò)事件發(fā)生后，我們何時并如何通知我們的客戶、投資者，和公眾?

所有的這些問題都意味著，應對攻擊需要事先許可和具備行之有效的計劃。在發(fā)生攻擊事件之后，利益相關(guān)者的各種問題開始出現(xiàn)。例如，品牌管理和公共關(guān)系部門可能反對信息披露。而建立一個應對手冊，會將應對網(wǎng)絡(luò)攻擊引起的內(nèi)部爭執(zhí)、混亂和延誤等問題最小化。

四、網(wǎng)絡(luò)空間安全是一個行進過程

上述十個問題，為董事會和高級管理人員在評估其公司網(wǎng)絡(luò)安全和準備工作方面提供了一個有用的指南。然而，正如拉斯金副部長所言：“網(wǎng)絡(luò)空間威脅在不斷進化中，我們的警惕和安全工作也必須如此。”董事會和管理人員應當把這十個問題看作是，為了改變威脅環(huán)境而持續(xù)地重新評估和調(diào)整過程的開始，而不是一張在上面打完對勾即可的事件列表。

網(wǎng)絡(luò)空間事件帶給企業(yè)的后果，其嚴重性和影響范圍仍然不得而知。但是主動采取控制措施去防止、檢測和彌補網(wǎng)絡(luò)攻擊的企業(yè)，在嚴重的入侵事件發(fā)生后，在保護各種業(yè)務和法律風險方面將處于最有利的位置。