一直以來，網(wǎng)絡攻擊都是現(xiàn)代公司的大敵

　　黑客如同夜幕下的野蠻人，

　　每時每刻覬覦網(wǎng)絡安全的脆弱邊境

　　依靠數(shù)據(jù)技術日常運營的投資公司

　　更如臨深淵，如履薄冰……

　　如何保護自己和客戶的數(shù)據(jù)，防患于未然?

　　根據(jù)CFA Institute今年發(fā)布的報告《Investment Firm of the Future》(未來投資公司)，24%的受訪者把網(wǎng)絡安全列為公司內(nèi)優(yōu)先級較高的技術重點。未來，隨著科技在投資管理過程中發(fā)揮更大作用，這個比例會只增不減。

　　CFA Institute為此專訪Ascendant合規(guī)管理CSS公司的網(wǎng)絡安全專家E.J. Yerzak先生，就如何防止網(wǎng)絡攻擊發(fā)生，以及發(fā)生攻擊時如何有效回應尋求專業(yè)建議。一言以蔽之，當有備無患。

　　網(wǎng)絡野蠻人已經(jīng)兵臨城下，較佳的御敵之策是什么?

　　黑客無處不在。在很多情況下，他們已經(jīng)潛入，這是公司需要注意的。

　　不能臨時抱佛腳，檢測到網(wǎng)絡危機事件的時候并不是準備應對計劃的時候。當觸及州立或國際觸的數(shù)據(jù)泄露通報期限時，“時間”問題非常關鍵。歐盟的《通用數(shù)據(jù)保護條例》(GDPR)要求通報時間為72小時以內(nèi)。而鑒于網(wǎng)絡事件中往往需要很長時間來確定究竟發(fā)生了什么、可能危及什么、什么文件或文件夾可能被讀取以及事件起始時間段，這個時間短得難以置信。

　　攻擊到底是什么時候開始的?黑客還在系統(tǒng)內(nèi)嗎?這類調查需要很長時間才能搞明白——通報泄露事件的期限這么短，其實是增強了對事件響應計劃和提前準備的要求，而不是在泄露或網(wǎng)絡事件發(fā)生之時抱佛腳。

　　為了不在危機發(fā)生時陣腳大亂， 必須提前制定應對預案，并反復測試有效性，才能有備無患。

　　許多公司缺乏憂患意識，他們借口：“我們沒風險。”“我們是家小公司。根本不是黑客的目標”或者“我們是大公司，技術控制可靠到位，黑客更可能去攻擊那些沒有安全防護的小公司”。 我認為，這些公司可能都錯誤計算了自己的風險敞口。真相是：我們都面臨風險。

　　拋開公司規(guī)模不談，假設已經(jīng)投入了時間和精力準備風險應對方案，當網(wǎng)絡安全事件真的發(fā)生時，這些預案有多大效用?

　　如果你想說危機爆發(fā)時這些準備方案都“形同虛設”，這絕對是有道理的。因為大敵當前一片慌亂時，能聯(lián)系到人、找到相關方，甚至開個一次電話會議，都可能有難度——面臨的壓力太大了。

　　但這些是提前要準備的重點。預測出每種可能的場景或網(wǎng)絡安全事件的類型基本上是不可能的事。所以，要為最有可能的情況做準備，給可能尚未預料的情況保留一些靈活性。行動計劃應該至少堅定執(zhí)行，不要有太多傾向性。

　　我重申這個重要性的另一個原因是：正如我剛才說的，危機關頭壓力如山，需要緊急處理，因此較好未雨綢繆，畢竟解決問題的時間十分緊迫。你不希望自己判斷失誤，也不愿看到你的團隊因為缺乏溝通，分別提出了一模一樣或者完全相左的意見。而當溝通泄露事件時，你不希望當客戶經(jīng)理還在向客戶做著解釋，而市場營銷部門已經(jīng)在給所有客戶起草一個統(tǒng)一的事件聲明。

　　為什么在形勢緊張、同時有很多事務都需要優(yōu)先處理的情況下，危機應對計劃可以在實際的網(wǎng)絡安全事件中發(fā)揮作用?舉個例子，CTO可能想關閉系統(tǒng)以防止黑客跳到其他系統(tǒng)，而CEO可能想讓系統(tǒng)繼續(xù)運行以避免客戶遭遇服務暫停。當多個利益相關方要求做決策，公司還要處理商業(yè)和監(jiān)管影響時，響應時間非常重要。

　　如果你不想浪費寶貴時間去尋找法務的電話號碼或者IT供應商的聯(lián)系人信息，一個記錄在案的應對能減少這方面的壓力，至少可以在各種危機情況發(fā)生時做到有章可循;同時在應對中保持靈活性，來處理獨特的情況?？傊?，既然不能為每種情況都做準備。那就為最有可能的情況做準備，用文檔統(tǒng)一記錄所有相關信息，例如聯(lián)系信息，以便查詢使用。

　　一家公司的危機處理團隊該由哪些人組成?

　　很多公司都苦于這個問題的答案。危機處理團隊應該是一個人還是兩個人?應該是大的委員會構架嗎?——根據(jù)公司大小、基礎設施、安排和供應商關系，這個答案都會有所不同。有的投資公司內(nèi)有專門的IT員工，有的則外包大部分IT，無法一概而論。

　　至少，組成危機應對團隊的人都應該是關鍵的決策者。他們應該能獲取必要的信息，以做出應對決策;同時可以授權做這些決定。例如，至少讓CEO，最有可能是CCO(首席合規(guī)官)，負責運營的人(如COO)，以及技術職位的人(CTO或CSO)加入，讓團隊里首席層面的管理者來啟動這個過程。有人需要得到授權來啟動事件的應對流程，讓團隊成員在各自領域進一步采取措施，需要時還可讓其他利益相關方加入。

　　事件應對團隊成功的關鍵是團隊的延展性。公司對團隊組成猶豫不決的原因之一是，希望能夠預測到每種類型的事件。提前決定在每種可能情況下誰可能需要作出決策是很困難的。相反，設計應對計劃時預留好將來引入更多資源的可能性即可。

　　在事件應對計劃中常見的例子是：有核心的事件應對團隊，需要時引入公司的首席法律顧問或外部法務，以及公司的系統(tǒng)管理員或某個IT供應商，他們會協(xié)助調查泄露事件。

　　除了公司常用的供應商，還該包括哪些第三方?

　　聘請一個長期穩(wěn)定的專業(yè)法律顧問，在隱私泄露和泄露應對方面有特定的專業(yè)技能。事件發(fā)生時可能第一個電話就是打給律師，以保護在適當權限下的進一步溝通和討論。

　　還有，我建議聘請一家刑事調查公司，協(xié)助檢查網(wǎng)絡上的文件，還原發(fā)生事件，以及哪些文件被黑客獲取。

　　一般來說，這些供應商希望提前做好溝通，這樣可以有時間熟悉公司的系統(tǒng)和網(wǎng)絡，而不是當火燒眉毛的時候才去找他們——那樣的話肯定費用不菲，畢竟人家要放下手頭的一切工作，趕到你的公司檢查系統(tǒng)。所以，提前談妥還能節(jié)省預算。

　　較好有家公關公司，至少要在心里物色好，來幫助草擬任何面向公眾的信息，不論是針對客戶、監(jiān)管者或者股東的?？傊?，針對事件的對外溝通傳播一定要妥當，否則將面臨失去很多客戶的風險。

　　此外，要有當?shù)睾吐?lián)邦執(zhí)法人員和部門以及區(qū)域機構的聯(lián)系信息。如果是一次重大事件，或者涉及大規(guī)模黑客侵入企圖，就可以在時機適當?shù)臅r候借助執(zhí)法力量。

　　在“硝煙彌漫”的時刻，如何確定應對優(yōu)先級?

　　在網(wǎng)絡安全事件中，多數(shù)壓力來自組織內(nèi)部和公司廣大利益相關方相互競爭的優(yōu)先事項。我之前提到過，CEO可能想讓系統(tǒng)運行，而CTO會說，“不行，我們得把一切都關掉，防止惡意軟件或勒索軟件傳播，這樣才能防止數(shù)據(jù)進一步被竊取。”

　　談到優(yōu)先級，建議公司通盤考慮所有業(yè)務和監(jiān)管風險。比如，響應行為超過某個時間范圍是否會面臨財務懲罰?

　　總體來說，每個人都要關注普遍的合規(guī)風險。例如，除了證券交易委員會，是否有其他法律上的要求?聯(lián)邦調查局會要求采取某些措施嗎?法務呢?如果公司有網(wǎng)絡保險，保險公司會要求采取某些措施，不然就不予理賠?這些是要優(yōu)先考慮的事項。

　　如果我要優(yōu)先考慮一個或兩個行動，那么第一個電話應該打給法務，第二個電話打給網(wǎng)絡安全保險公司。至少讓他們掌握動態(tài)，告訴他們你當時了解的信息。

　　盡量多、盡量快地識別出需要溝通的信息，至少要能告訴法務和保險公司，泄露是如何發(fā)現(xiàn)的、哪些信息可能被竊取、以及公司是如何注意到的。哪怕 沒有掌握所有事實，提前溝通也很重要。

　　能模擬預演這些網(wǎng)絡危機應對預案嗎?

　　網(wǎng)絡危機應對預案如果沒有經(jīng)過演練，往往是紙上談兵。雖然我們不能預測所有發(fā)生的情況，但是，你是否對所有可能的情況做過預想?

　　檢測危機應對計劃一個簡單易行的方法，是在員工中進行釣魚測試。這些測試能加強防御，提高員工的安全意識，防止相關問題發(fā)生。釣魚測試也能幫助公司體驗一個可能發(fā)生的勒索軟件侵入系統(tǒng)的過程。其中首先考慮的一步應該是：斷開系統(tǒng)了嗎?讓IT部門來實時調查發(fā)生了什么嗎?何時開始與客戶溝通的?

　　預演時你應該想到很多可能的突發(fā)狀況。比如，在實施應對預案時，有客戶打電話質問為何無法在線登錄賬戶。當客戶在電話里要求馬上回應，而市場部尚未準備好公開回應的內(nèi)容，這種情況下怎么辦?類似這些問題都要提前集思廣益。

　　演練危機應對預案的一個很好的方式是讓公司不同部門和各方人員都參與進來，讓大家都有所體會。我一直強調，危機應對是每個人的責任。這不僅是IT或高管才會面臨的情況，每個雇員都可能處在發(fā)現(xiàn)并幫助阻止信息泄露的崗位上。

　　最近發(fā)生的網(wǎng)絡攻擊有怎樣的前車之鑒?

　　最近數(shù)起網(wǎng)絡攻擊已經(jīng)凸顯了供應商要更加盡職的必要性。我們從Target超市和其他公司所遭受的黑客攻擊中發(fā)現(xiàn)，企業(yè)和第三方供應商之間的互相關聯(lián)有可能會帶來難以預料的影響。

　　如果有人入侵了供應商的系統(tǒng)，這對其他利益相關者有影響嗎?如果投資公司的第三方供應商遭到黑客入侵，或被用為跳板攻擊其他各方，會構成風險嗎?

　　故話重提，作為第三方的小公司有時覺得他們不是目標，但是小公司可能被黑客入侵，黑客會使用他們的系統(tǒng)攻擊其他公司，以掩蓋攻擊來源或者做到不被發(fā)現(xiàn)。公開的泄露事件已經(jīng)顯示出：供應商可以構成威脅。

　　這也表明公司的公關計劃要到位，這一點十分重要。以錯誤的方式發(fā)出信息會對業(yè)務的持續(xù)生存造成嚴重后果。

　　攻擊事件發(fā)生后應該如何向外界溝通?

　　溝通口徑要一致。在發(fā)出公開聲明之前，內(nèi)部協(xié)調統(tǒng)一所有信息。

　　描述事件的措辭要非常嚴謹。除非真實存在泄露的情況，否則不要輕易使用泄露這個詞。美國各州的規(guī)定已經(jīng)定義了什么情況下構成一個應當做出匯報的泄露事件。一旦定性為“泄露”，這意味著具有法律意義上的決定。公司必須慎之又慎。在如何措辭表述網(wǎng)絡攻擊事件的性質時，要在信息和溝通上非常謹慎。

　　很多情況下，公司會將其描述為一次事故、事件或被發(fā)現(xiàn)的黑客行動。一旦你使用泄露這個詞，就會涉及到通報問題。

　　對公司的寄語?

　　公司的危機應對計劃要不停地修訂。黑客很有可能已經(jīng)在公司網(wǎng)絡上伺機而動。要居安思危，沒有安全事件發(fā)生的時期越長，在突發(fā)危機時公司越有可能措手不及。

金程CFA速贏強化套餐班

　　短時高效，精準突破，CFA持證必備

CFA強化班詳情在線咨詢

完善下表，48小時內(nèi)查收CFA備考資料
（如果沒收到資料，可以點我咨詢）

相關推薦：注冊金融分析師 CFA是什么意思 CFA報名時間 CFA是什么

一次通過CFA! 9群 572165746。CFA資料&資訊隨時分享，與眾多CFA持證人交流考試經(jīng)驗。

返回首頁