企業(yè)是否該為被劫持的信息付費(fèi)?

責(zé)任編輯:editor006

作者:Mike O. Villegas

2015-07-16 14:26:13

摘自:TechTarget中國

在2014年索尼影視攻擊事件后,有消息稱在攻擊之前,索尼高管曾收到勒索郵件。在高管或行政管理員收到包含贖金要求的勒索電子郵件時,首先,他們不應(yīng)該回復(fù)電子郵件?!?不要保存該電子郵件到你的硬盤驅(qū)動器或外部存儲設(shè)備,例如USB驅(qū)動器 

在2014年索尼影視攻擊事件后,有消息稱在攻擊之前,索尼高管曾收到勒索郵件。這突出表明,高管和行政管理員應(yīng)該要了解如何應(yīng)對這些情況。當(dāng)企業(yè)遭遇電子郵件敲詐事故時,該采取怎樣的措施來應(yīng)對呢?員工應(yīng)該做什么、不應(yīng)該做什么、應(yīng)該與誰聯(lián)系等……

企業(yè)是否該為被劫持的信息付費(fèi)?

企業(yè)是否應(yīng)該為被劫持的信息或計(jì)算機(jī)支付贖金?在倫理上來看,答案是否定的。而在實(shí)際角度來看,基于資產(chǎn)的重要性,你可能不得不這樣做。如果你不支付贖金,將可能對你企業(yè)的可行性、聲譽(yù)或財(cái)務(wù)狀況產(chǎn)生不利影響,那么你就沒有別的選擇。如果企業(yè)可以接受這種業(yè)務(wù)損失,那么就不應(yīng)該支付贖金,并應(yīng)集中注意來遏制和防止這種事件的再次發(fā)生。

在高管或行政管理員收到包含贖金要求的勒索電子郵件時,首先,他們不應(yīng)該回復(fù)電子郵件。雖然這個道理很簡單,但敲詐或威脅電子郵件的收件人畢竟是有情感的人類,例如恐懼和恐慌,他們可能對郵件做出回應(yīng),而這會使局勢更加惡化。下面讓我們看看不應(yīng)該做的事情的清單:

· 不要回復(fù)這種電子郵件

· 不要驚慌

· 不要刪除該電子郵件

· 不要點(diǎn)擊該電子郵件中的任何圖片或鏈接

· 不要保存該電子郵件到你的硬盤驅(qū)動器或外部存儲設(shè)備,例如USB驅(qū)動器

· 不要將該電子郵件轉(zhuǎn)發(fā)給企業(yè)內(nèi)部或外部的任何人

· 不要向高管保密該電子郵件

· 不要打電話、發(fā)郵件或使用社交媒體告訴朋友或同事這件事情

· 不要馬上致電當(dāng)?shù)貓?zhí)法部門、FBI或特勤局

你需要立即做的事情是告知你公司的CSIRT(計(jì)算機(jī)安全事件響應(yīng)小組)。如果企業(yè)沒有CSIRT,則應(yīng)該開始進(jìn)行收集和測試。隨后,CSIRT可以快速判斷事故的嚴(yán)重程度以采取措施來遏制、整治和控制事故。CSIRT通常會聯(lián)系高層管理人員,但如果事故涉及高管或者他們的行政助理,CSIRT則會打電話給指定的高級管理人員或CISO來開始進(jìn)行調(diào)查。

根據(jù)事件的嚴(yán)重程度,CSIRT領(lǐng)導(dǎo)和管理人員將判斷他們是否應(yīng)該致電本地和/或聯(lián)邦執(zhí)法部門。CSIRT通話清單應(yīng)該包含所有現(xiàn)有執(zhí)法部門聯(lián)系人姓名和電話號碼。

雖然高管網(wǎng)絡(luò)安全培訓(xùn)是經(jīng)常會討論的話題,并且在美國企業(yè)董事協(xié)會(NACD)、世界經(jīng)濟(jì)論壇、克林頓全球倡議、《財(cái)富》婦女峰會和《華爾街日報(bào)》CEO大會等高管會議中也常提到這個話題,但現(xiàn)在仍然沒有正式的可行的高管網(wǎng)絡(luò)安全培訓(xùn)。

我們很難讓高層管理人員坐下來接受培訓(xùn),即使是針對網(wǎng)絡(luò)安全。不過,這種情況正在迅速改變?,F(xiàn)在高管開始意識到,在數(shù)據(jù)泄露事故、黑客攻擊或重大安全事件后,糟糕的安全機(jī)制可能讓他們承擔(dān)個人責(zé)任,并受到經(jīng)濟(jì)處罰或監(jiān)禁。

如果網(wǎng)絡(luò)安全成為董事會經(jīng)常談?wù)摰脑掝},高管將會開始關(guān)注網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全應(yīng)該整合到董事會討論話題,作為開展業(yè)務(wù)的正常部分?,F(xiàn)在有很多不同的方法來整合安全討論與典型的圓桌討論會,例如上市公司確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否應(yīng)該涵蓋在提交給證券交易委員會的10-K表格的風(fēng)險(xiǎn)因素披露中,或者高級管理層需定期向董事會報(bào)告企業(yè)的網(wǎng)絡(luò)安全、企業(yè)安全管理和合規(guī)性狀態(tài)。

在筆者看來,網(wǎng)絡(luò)安全培訓(xùn)是CISO的責(zé)任。高管需要關(guān)注很多不同的事情,當(dāng)事故發(fā)生時,例如電子郵件敲詐勒索或數(shù)據(jù)泄露事故,他們應(yīng)該深喑事件響應(yīng)協(xié)議。否則,他們會讓自己陷入困境,并且,應(yīng)對危機(jī)的響應(yīng)將是被動的、沖動的,總是帶來不利的影響。

不要排除高層管理人員和行政工作人員。在勒索事件中,他們應(yīng)該在第一時間知道怎么做,這一點(diǎn)至關(guān)重要。同時,網(wǎng)絡(luò)安全應(yīng)該作為董事會的討論話題,以提高和保持安全意識。圍繞網(wǎng)絡(luò)安全的話題應(yīng)該包括網(wǎng)絡(luò)安全保險(xiǎn)、網(wǎng)絡(luò)安全政策、當(dāng)前網(wǎng)絡(luò)安全事件場景以及它們對企業(yè)的影響。請確保在網(wǎng)絡(luò)安全的討論中所有高管及其行政助理都有出席。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號