在2014年索尼影视攻击事件后,有消息称在攻击之前,索尼高管曾收到勒索邮件。这突出表明,高管和行政管理员应该要了解如何应对这些情况。当企业遭遇电子邮件敲诈事故时,该采取怎样的措施来应对呢?员工应该做什么、不应该做什么、应该与谁联系等……
企业是否应该为被劫持的信息或计算机支付赎金?在伦理上来看,答案是否定的。而在实际角度来看,基于资产的重要性,你可能不得不这样做。如果你不支付赎金,将可能对你企业的可行性、声誉或财务状况产生不利影响,那么你就没有别的选择。如果企业可以接受这种业务损失,那么就不应该支付赎金,并应集中注意来遏制和防止这种事件的再次发生。
在高管或行政管理员收到包含赎金要求的勒索电子邮件时,首先,他们不应该回复电子邮件。虽然这个道理很简单,但敲诈或威胁电子邮件的收件人毕竟是有情感的人类,例如恐惧和恐慌,他们可能对邮件做出回应,而这会使局势更加恶化。下面让我们看看不应该做的事情的清单:
• 不要回复这种电子邮件
• 不要惊慌
• 不要删除该电子邮件
• 不要点击该电子邮件中的任何图片或链接
• 不要保存该电子邮件到你的硬盘驱动器或外部存储设备,例如USB驱动器
• 不要将该电子邮件转发给企业内部或外部的任何人
• 不要向高管保密该电子邮件
• 不要打电话、发邮件或使用社交媒体告诉朋友或同事这件事情
• 不要马上致电当地执法部门、FBI或特勤局
你需要立即做的事情是告知你公司的CSIRT(计算机安全事件响应小组)。如果企业没有CSIRT,则应该开始进行收集和测试。随后,CSIRT可以快速判断事故的严重程度以采取措施来遏制、整治和控制事故。CSIRT通常会联系高层管理人员,但如果事故涉及高管或者他们的行政助理,CSIRT则会打电话给指定的高级管理人员或CISO来开始进行调查。
根据事件的严重程度,CSIRT领导和管理人员将判断他们是否应该致电本地和/或联邦执法部门。CSIRT通话清单应该包含所有现有执法部门联系人姓名和电话号码。
虽然高管网络安全培训是经常会讨论的话题,并且在美国企业董事协会(NACD)、世界经济论坛、克林顿全球倡议、《财富》妇女峰会和《华尔街日报》CEO大会等高管会议中也常提到这个话题,但现在仍然没有正式的可行的高管网络安全培训。
我们很难让高层管理人员坐下来接受培训,即使是针对网络安全。不过,这种情况正在迅速改变。现在高管开始意识到,在数据泄露事故、黑客攻击或重大安全事件后,糟糕的安全机制可能让他们承担个人责任,并受到经济处罚或监禁。
如果网络安全成为董事会经常谈论的话题,高管将会开始关注网络安全问题。网络安全应该整合到董事会讨论话题,作为开展业务的正常部分。现在有很多不同的方法来整合安全讨论与典型的圆桌讨论会,例如上市公司确定网络安全风险是否应该涵盖在提交给证券交易委员会的10-K表格的风险因素披露中,或者高级管理层需定期向董事会报告企业的网络安全、企业安全管理和合规性状态。
在笔者看来,网络安全培训是CISO的责任。高管需要关注很多不同的事情,当事故发生时,例如电子邮件敲诈勒索或数据泄露事故,他们应该深喑事件响应协议。否则,他们会让自己陷入困境,并且,应对危机的响应将是被动的、冲动的,总是带来不利的影响。
不要排除高层管理人员和行政工作人员。在勒索事件中,他们应该在第一时间知道怎么做,这一点至关重要。同时,网络安全应该作为董事会的讨论话题,以提高和保持安全意识。围绕网络安全的话题应该包括网络安全保险、网络安全政策、当前网络安全事件场景以及它们对企业的影响。请确保在网络安全的讨论中所有高管及其行政助理都有出席。