監(jiān)管機(jī)構(gòu)向國會通報重大信息安全事件

美國貨幣監(jiān)理署(OCC，Office of the Comptroller of the Currency)周二向國會通報了一起涉及系統(tǒng)管理賬戶的"異常交互"事件。OCC是美國財政部的獨(dú)立機(jī)構(gòu)，負(fù)責(zé)特許、監(jiān)管和監(jiān)督所有美國國家銀行。

根據(jù)一份聲明，OCC已按照《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)要求，向國會通報了這起被定性為"重大信息安全事件"的情況。聲明指出："這一發(fā)現(xiàn)是基于對OCC電子郵件及附件進(jìn)行的內(nèi)部和獨(dú)立第三方審查結(jié)果，這些郵件遭到了未經(jīng)授權(quán)的訪問。2025年2月11日，OCC發(fā)現(xiàn)其辦公自動化環(huán)境中的系統(tǒng)管理賬戶與用戶郵箱之間存在異常交互。"

事件響應(yīng)與處置過程

2025年2月12日，OCC確認(rèn)該活動屬于未授權(quán)行為，立即啟動了事件響應(yīng)協(xié)議，包括委托獨(dú)立第三方進(jìn)行事件評估，并向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)報告。同日，OCC禁用了遭入侵的管理賬戶，確認(rèn)未授權(quán)訪問已被終止。OCC于2月26日向公眾發(fā)布了事件通告。

周二公布的一份報告顯示："2023年6月入侵財政部貨幣監(jiān)理署的未知攻擊者獲取了超過15萬封電子郵件的訪問權(quán)限。"加拿大安全意識培訓(xùn)提供商Beauceron Security負(fù)責(zé)人David Shipley對此表示，對OCC和整個國家銀行業(yè)來說，最好的情況可能是"非常、非常、非常幸運(yùn)"，如果這只是一次國家行為體進(jìn)行的間諜和準(zhǔn)備工作的話。

Shipley指出，最壞的情況是OCC監(jiān)管的一家或多家實(shí)體因郵件泄露而遭到入侵。"這令人震驚，而且正值美國在改善網(wǎng)絡(luò)安全方面所做的良好工作面臨巨大壓力之際，既要限制監(jiān)管成果和洞察力，又要調(diào)配資源應(yīng)對此類事件。"

專家警示與深層反思

Shipley補(bǔ)充道："如果這都不能說明美國需要立即調(diào)轉(zhuǎn)方向，加大對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的投資，我不知道還有什么能說明問題。我們絕對需要一份完整、透明的事件報告，以便從中吸取教訓(xùn)。"他指出，OCC作為監(jiān)管機(jī)構(gòu)的事實(shí)"并不意味著它獲得了足夠的資源來保護(hù)自己。我認(rèn)為需要提出一個重要問題：這些極其重要的機(jī)構(gòu)是否獲得了足夠的資源來自我保護(hù)？很可能，如果你深入調(diào)查，會發(fā)現(xiàn)IT團(tuán)隊資源極度緊張，工作過度，保護(hù)自身的資金不足。這極具諷刺意味，但對我來說并不意外。"

關(guān)于事件主謀，Shipley表示："敢于針對財政部的攻擊者真的非常大膽。要知道，這里可是特勤局的駐地，而特勤局負(fù)責(zé)調(diào)查金融網(wǎng)絡(luò)犯罪。你這是在招惹地球上資源最雄厚的機(jī)構(gòu)之一。但這說明了一些問題：有人覺得有足夠膽量實(shí)施這次攻擊，而且長期未被發(fā)現(xiàn)，這應(yīng)該讓人們感到恐懼。"

OCC官方回應(yīng)與安全措施

OCC發(fā)言人周二晚間在一份電子郵件聲明中表示，該機(jī)構(gòu)是在代理貨幣監(jiān)理署長Rodney E. Hood宣誓就職的第二天發(fā)現(xiàn)郵件系統(tǒng)遭到未授權(quán)訪問的。2月25日，Hood"收到了關(guān)于此事的高層簡報，OCC于次日向公眾發(fā)布了事件通告。當(dāng)時，Hood先生尚未獲得關(guān)于未授權(quán)訪問的完整持續(xù)時間，以及受影響電子郵件通信的具體數(shù)量和內(nèi)容的詳細(xì)信息。"發(fā)言人指出，OCC已聘請第三方網(wǎng)絡(luò)安全專家對調(diào)查和取證工作進(jìn)行全面審查。

發(fā)言人表示："OCC運(yùn)行著全面的信息安全和網(wǎng)絡(luò)保護(hù)計劃，以保護(hù)其關(guān)鍵信息資源，包括其保管的敏感金融機(jī)構(gòu)信息。"該機(jī)構(gòu)實(shí)施的安全和隱私控制措施達(dá)到或超過了美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)，并持續(xù)評估這些控制措施的有效性。