ISACA Journal | 信息安全很重要:风险中的首席信息安全官
萨福克县位于美国纽约州长岛的东端,该县以其海滩、葡萄园和捕鱼船队而闻名。而最近,它因勒索软件攻击而臭名昭著,该攻击迫使当地政府将其所有系统从互联网上移除。结果,所有机构的技术都被迫倒退回1990年代。
除了我从媒体和与该地区信息安全专业人员的对话中了解到的信息外,我对这次网络攻击一无所知,人们对这件事情也知之甚少。但从那以后,报道的一个细节一直萦绕在我的脑海中。12月下旬,县政府宣布,一个机构的IT主管,即县文员,被指责造成了这次攻击,并被行政休假。他被指控以“令人难以置信的冷漠方式”对待办公室的网络安全。被告辩解说,他已经努力尝试唤起对需要更强大的网络安全保护的认识,但没有得到重视。
为什么必须有人担责?
一直在我脑子里嘎嘎作响的是,为什么有人要为这件事承担责任?肯定有一些相当讨厌的人应该受到指责,他们试图从生活在和平乡村地区的公民那里榨取赎金(和大量个人信息)。但为什么要追究一名IT主管的责任?
还有其他令人不安的例子:Uber的前首席安全官因没有披露几年前发生的黑客攻击而被定罪;美国佛罗里达州的一名IT主管在勒索软件攻击后被解雇;一名在苏格兰的一家公司被骗的信贷控制员;一位加利福尼亚州的信息安全官。
出于我不明白的原因,网络攻击这种罪行除了犯罪分子以外,一定要有其他人担责。如果小偷闯入某人的家并偷走了所有贵重物品,房主会有错吗?在某些情况下,答案是“是”。如果主人与土匪勾结,那很可能是一个保险骗局,让他陷入困境。或者如果业主将所有门窗都打开,走廊上有一个牌子,上面写着“珠宝在面包盒里”,那么对所遭受的损失的同情可能会少得多。这个几乎不加掩饰的类比旨在确定以与网络攻击有关的原因解雇或起诉任何员工的唯一合理理由。如果那个人与袭击者勾结,解雇和起诉当然是必要的,尽管我从未听说过这样的袭击。
共同过失?
但是,共同过失是一个恰当的比较吗?我想假设某个地方可能有一位信息安全经理,他对他所看管的数据非常不关心,以至于不需要身份证明或授权即可访问它们;病毒被允许混乱运行;并且不进行任何备份。非常假设的场景。如果真有这样的人,责任应该落在当初雇用这个傻瓜的经理身上。
假设基本安全性已经到位,如何为恶意外部人员的行为负责?值得注意的是,一些在信息安全产品和人员上投入巨资的企业和政府遭受了网络攻击。如果他们又多花了一百万,攻击会被成功拦截吗?
即便如此,如果攻击者使用诡计来窃取对系统具有特权访问权限的人的凭据,从而窃取数据,那么所有这些投资也可能是徒劳的。凭据泄露肯定是导致网络犯罪的一个贡献因素,尽管对它的影响大小存在相当大的争议。一个简单的搜索显示这组统计数据,37%到81%的网络攻击者使用被盗的凭据。
毫无疑问,许多网络攻击中都涉及到网络钓鱼和鱼叉式网络钓鱼。任何被网络钓鱼愚弄的人都应该感到尴尬,但不应被解雇。让一个从未被欺骗的人打响反诈第一枪,我是不会这么干的。
防止指责
许多ISACA Journal的读者是或将来可能成为IT主管或首席信息安全官(CISO)。可悲的是,我的朋友们,如果你们守护的网络受到攻击,你们的工作可能会岌岌可危。但是,如果那一天到来,我可以提出一些实用的建议来帮助您:
• 教育你的上级。他们应该知道您采取了哪些实际措施来预防、检测网络攻击并从中恢复。更重要的是,他们应该知道他们对网络安全的责任是什么。
• 记录你为应对确实发生的任何攻击而成功采取的行动。如果你需要为自己辩护,你将有这样做的证据。
• 适用应有的谨慎标准。为保护您的系统而可能采取的措施永无止境,但预算有限。因此,确定可用资源的最佳用途,然后...
• 为要做的事情获得批准。介绍你正在采取哪些措施来保护组织免受网络攻击,然后获得董事会和/或执行委员会的正式同意,证明这些措施就足够了。想不到吧,IT审计员可以成为您的朋友!如果高管们想要更强大的保护,请向他们请求达到这一点所需的资源。
• 为任何可能因为受骗上当而导致攻击的员工挺身而出。指责下属没有什么好处,一旦你背离了自己人,你就会失去团队对你的信任。
你所在职位上每个人的工作和声誉都岌岌可危,这可能让你稍感安慰。无论你赢得多少次与攻击者的战争,有时坏人就是会赢。只输一次也将是痛苦的,但这是组织的痛苦,不应由你一个人来承受。
编者注:本文出自ISACA Journal 2023年第3期。尾注略。文章内容仅代表作者本人观点。作者:STEVEN J. ROSS,CISA, CDPSE, AFBCI, MBCP
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。