CISO如何避免入獄?
雅虎、優(yōu)步、SolarWinds...在大洋彼岸,隨著美國政府將越來越多的CISO送上法庭,網(wǎng)絡(luò)安全行業(yè)開始質(zhì)疑這種通過“殺CISO祭天”的方法是否真的有利于激勵(lì)更多企業(yè)提升網(wǎng)絡(luò)安全措施和能力。
“背鍋俠”最佳人選
2016年4月,時(shí)任美國總統(tǒng)奧巴馬任命優(yōu)步首席安全官(CSO)Joe Sullivan進(jìn)入"國家網(wǎng)絡(luò)安全委員會(huì)"。四年后的今天,Sullivan卻在研究如何在獄中安全度日。他原本是一位履歷特殊的網(wǎng)絡(luò)安全高管,職業(yè)生涯的前八年都在美國司法部步步高升,隨后五年擔(dān)任助理美國檢察官。他甚至還曾代表政府處理了首例涉及《數(shù)字千年著作權(quán)法》(DMCA)的案件:美國訴Elcom公司案。可以說,Sullivan對網(wǎng)絡(luò)安全法律、商業(yè)和現(xiàn)實(shí)的理解無人能出其右。然而,卻因?yàn)樵?016年11月處理一起重大數(shù)據(jù)泄露事件不當(dāng),他至今仍在法庭上為自己辯護(hù)。
律師事務(wù)所貝克麥肯齊合伙人杰斯·Nall (Jess Nall)表示:“美國政府擁有巨大權(quán)力,可以用非常不公平的方式碾壓個(gè)人。在過去10年里,網(wǎng)絡(luò)安全主管以及其他信息安全專業(yè)人員(包括隱私和數(shù)據(jù)安全律師以及其他信息安全人員)在重大網(wǎng)絡(luò)攻擊發(fā)生時(shí)首當(dāng)其沖地被推出來頂罪。”
Nall曾成功為雅虎遭受歷史性重大數(shù)據(jù)泄露事件后的員工進(jìn)行辯護(hù)。現(xiàn)在,她將在Black Hat 2024大會(huì)上的演講中分享她的經(jīng)驗(yàn)教訓(xùn)。她總結(jié)說,今天的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者正面臨前所未有的被大規(guī)模起訴的風(fēng)險(xiǎn)。
入獄風(fēng)險(xiǎn)嚇跑CISO人才
多年來,各國政府一直試圖通過利誘和威逼的方式讓企業(yè)更好地管理用戶數(shù)據(jù)。對此,Sullivan 在接受采訪時(shí)表示:“我認(rèn)為我們現(xiàn)在正處于最艱難的過渡時(shí)期。”他回憶說,在他為奧巴馬政府工作時(shí),“我們最糾結(jié)的問題是:聯(lián)邦政府如何讓企業(yè)做出更多網(wǎng)絡(luò)安全方面的承諾?很長一段時(shí)間以來,政府采取的做法都是公私合作伙伴關(guān)系和協(xié)作。如今的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA) 仍然在做著類似的工作。但拜登政府在2023年3 月發(fā)布的國家網(wǎng)絡(luò)安全政策中非常明確地表示,我們已經(jīng)決定將責(zé)任轉(zhuǎn)移給那些有能力做到這一點(diǎn)的企業(yè)——私營部門的大型企業(yè)。”
由于美國國會(huì)的內(nèi)耗,訴訟成為一種迫使企業(yè)行為端正的迂回做法。“行政部門正因網(wǎng)絡(luò)安全問題而備受責(zé)難,因此轉(zhuǎn)向執(zhí)法行動(dòng),即可通過法律法規(guī)進(jìn)行監(jiān)管,也可以通過判例法進(jìn)行監(jiān)管。所以政府提起的所有訴訟都是在努力創(chuàng)造判例,” Sullivan解釋道。當(dāng)然,起訴匿名組織或外國黑客對任何一方都沒有好處。“那么,為了起到威懾目的,他們想把誰樹立成典型呢?”Nall反問道。“通常是美國本土的某個(gè)人,通常是這些被攻擊的公司里的某個(gè)(負(fù)責(zé)網(wǎng)絡(luò)安全的)人。”
美國政府公訴人的想法非常樸素:法律嚴(yán)懲的案例會(huì)刺激那些原本誤導(dǎo)、疏忽或惡意安全領(lǐng)導(dǎo)者采取行動(dòng)。但有人私下里表示,這種做法已經(jīng)產(chǎn)生了一些負(fù)面影響。“網(wǎng)絡(luò)安全專業(yè)人員的需求已經(jīng)非常強(qiáng)勁,我認(rèn)為任何阻礙美國吸引人才的做法都是有害的。我認(rèn)為人們現(xiàn)在對擔(dān)任CISO的職位感到擔(dān)心,”Nall說道。她補(bǔ)充說,當(dāng)最優(yōu)秀的人才對擔(dān)任領(lǐng)導(dǎo)角色感到猶豫時(shí),“我聽說過這種情況:一些人資歷尚淺就擔(dān)任了CISO職位,被要求承擔(dān)超出他們能力范圍的工作。由于需求如此之大,擔(dān)任該職位的角色質(zhì)量正在下降。我認(rèn)為,所有數(shù)據(jù)安全捍衛(wèi)者的質(zhì)量都將下降。”
CISO能做什么?
Nall表示,避免陷入困境的關(guān)鍵在于認(rèn)識(shí)三件事:政府調(diào)查如何運(yùn)作,政府在調(diào)查過程中如何與公司互動(dòng),以及公司在解決案件時(shí)所面臨的利害關(guān)系。例如,在壓力之下,企業(yè)可能會(huì)被迫點(diǎn)名批評(píng)個(gè)人。Sullivan在訴訟中,他的律師團(tuán)隊(duì)描繪了一家公司(優(yōu)步)試圖重塑品牌形象,并把他當(dāng)成替罪羊的畫面。“這實(shí)在令人遺憾,因?yàn)楹蠊怯梢粋€(gè)或幾個(gè)人來承擔(dān),盡管確保事故不發(fā)生是一項(xiàng)組織內(nèi)部的集體努力,”前Kroger、DIRECTV和TransUnion公司首席信息安全官 (CISO)的Karthik Swarnam說道。
為了避免成為替罪羊(這也是網(wǎng)絡(luò)安全專業(yè)素養(yǎng)之一),CISO應(yīng)建立清晰穩(wěn)固的溝通渠道,將其他董事會(huì)成員納入網(wǎng)絡(luò)安全決策過程。
“首先,您需要建立一個(gè)企業(yè)風(fēng)險(xiǎn)委員會(huì),明確定義每個(gè)人的角色和職責(zé),”Swarnam建議道,并補(bǔ)充說,“風(fēng)險(xiǎn)管理需要兩件事:將風(fēng)險(xiǎn)傳達(dá)給正確的人和正確的組織,并與他們合作制定解決問題的計(jì)劃。”
Nall和 Sullivan都同意,溝通和協(xié)作是安全領(lǐng)導(dǎo)者在最壞情況下可以依靠的安全網(wǎng)。“歸根結(jié)底,所有這些案件的共同點(diǎn)都是:跨職能團(tuán)隊(duì)之間的溝通沒有達(dá)到應(yīng)有的程度,”Nall說。“首當(dāng)其沖的不是律師、高管或董事會(huì),而是信息安全人員。”
以下是一些法律和安全專家給出的風(fēng)險(xiǎn)管理建議,可幫助安全領(lǐng)導(dǎo)者避免成為網(wǎng)絡(luò)安全事故的替罪羊:
- 確保您對組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅有一個(gè)清晰的理解。
- 制定并實(shí)施有效的網(wǎng)絡(luò)安全策略和程序。
- 定期培訓(xùn)和教育員工加強(qiáng)網(wǎng)絡(luò)安全意識(shí)。
- 及時(shí)有效地響應(yīng)安全事件。
- 與執(zhí)法部門和其他政府機(jī)構(gòu)建立良好的關(guān)系。
- 保留所有相關(guān)文檔和通信記錄。
遵循以上建議可以幫助安全領(lǐng)導(dǎo)者降低被起訴或入獄的風(fēng)險(xiǎn)。但需要注意的是,即使采取了所有正確措施,也無法完全消除風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全是一個(gè)極其復(fù)雜的領(lǐng)域,威脅不斷發(fā)展變化,安全領(lǐng)導(dǎo)者始終面臨著巨大的不確定性壓力。
最終,保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊的最佳方法是建立強(qiáng)大的安全文化,并將網(wǎng)絡(luò)安全置于所有決策的中心。這需要整個(gè)組織的共同努力,包括高管、員工和安全領(lǐng)導(dǎo)者。CISO的關(guān)鍵任務(wù)之一就是“讓網(wǎng)絡(luò)安全成為所有人的責(zé)任。”
總結(jié)
今天,包括CISO/CSO在內(nèi)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者面臨著越來越大的風(fēng)險(xiǎn),甚至可能因網(wǎng)絡(luò)安全事故而被起訴或入獄。為了降低這種風(fēng)險(xiǎn),安全領(lǐng)導(dǎo)者需要采取主動(dòng)措施,了解政府調(diào)查如何運(yùn)作、政府如何與公司互動(dòng)以及公司在解決案件時(shí)所面臨的利害關(guān)系。CISO還應(yīng)該建立清晰穩(wěn)固的溝通渠道,并制定有效的網(wǎng)絡(luò)安全計(jì)劃。
