如今,五花八门的网络安全法规频频出台,各国政府对网络攻击和数据泄露事件的处罚日趋严厉,越来越多的CISO们将开始考虑一个迫切的“安全问题”:如何避免自己成为替罪羊甚至锒铛入狱。
雅虎、优步、SolarWinds...在大洋彼岸,随着美国政府将越来越多的CISO送上法庭,网络安全行业开始质疑这种通过“杀CISO祭天”的方法是否真的有利于激励更多企业提升网络安全措施和能力。
“背锅侠”最佳人选
2016年4月,时任美国总统奥巴马任命优步首席安全官(CSO)Joe Sullivan进入"国家网络安全委员会"。四年后的今天,Sullivan却在研究如何在狱中安全度日。他原本是一位履历特殊的网络安全高管,职业生涯的前八年都在美国司法部步步高升,随后五年担任助理美国检察官。他甚至还曾代表政府处理了首例涉及《数字千年著作权法》(DMCA)的案件:美国诉Elcom公司案。可以说,Sullivan对网络安全法律、商业和现实的理解无人能出其右。然而,却因为在2016年11月处理一起重大数据泄露事件不当,他至今仍在法庭上为自己辩护。
律师事务所贝克麦肯齐合伙人杰斯·Nall (Jess Nall)表示:“美国政府拥有巨大权力,可以用非常不公平的方式碾压个人。在过去10年里,网络安全主管以及其他信息安全专业人员(包括隐私和数据安全律师以及其他信息安全人员)在重大网络攻击发生时首当其冲地被推出来顶罪。”
Nall曾成功为雅虎遭受历史性重大数据泄露事件后的员工进行辩护。现在,她将在Black Hat 2024大会上的演讲中分享她的经验教训。她总结说,今天的企业网络安全领导者正面临前所未有的被大规模起诉的风险。
入狱风险吓跑CISO人才
多年来,各国政府一直试图通过利诱和威逼的方式让企业更好地管理用户数据。对此,Sullivan 在接受采访时表示:“我认为我们现在正处于最艰难的过渡时期。”他回忆说,在他为奥巴马政府工作时,“我们最纠结的问题是:联邦政府如何让企业做出更多网络安全方面的承诺?很长一段时间以来,政府采取的做法都是公私合作伙伴关系和协作。如今的网络安全和基础设施安全局(CISA) 仍然在做着类似的工作。但拜登政府在2023年3 月发布的国家网络安全政策中非常明确地表示,我们已经决定将责任转移给那些有能力做到这一点的企业——私营部门的大型企业。”
由于美国国会的内耗,诉讼成为一种迫使企业行为端正的迂回做法。“行政部门正因网络安全问题而备受责难,因此转向执法行动,即可通过法律法规进行监管,也可以通过判例法进行监管。所以政府提起的所有诉讼都是在努力创造判例,” Sullivan解释道。当然,起诉匿名组织或外国黑客对任何一方都没有好处。“那么,为了起到威慑目的,他们想把谁树立成典型呢?”Nall反问道。“通常是美国本土的某个人,通常是这些被攻击的公司里的某个(负责网络安全的)人。”
美国政府公诉人的想法非常朴素:法律严惩的案例会刺激那些原本误导、疏忽或恶意安全领导者采取行动。但有人私下里表示,这种做法已经产生了一些负面影响。“网络安全专业人员的需求已经非常强劲,我认为任何阻碍美国吸引人才的做法都是有害的。我认为人们现在对担任CISO的职位感到担心,”Nall说道。她补充说,当最优秀的人才对担任领导角色感到犹豫时,“我听说过这种情况:一些人资历尚浅就担任了CISO职位,被要求承担超出他们能力范围的工作。由于需求如此之大,担任该职位的角色质量正在下降。我认为,所有数据安全捍卫者的质量都将下降。”
CISO能做什么?
Nall表示,避免陷入困境的关键在于认识三件事:政府调查如何运作,政府在调查过程中如何与公司互动,以及公司在解决案件时所面临的利害关系。例如,在压力之下,企业可能会被迫点名批评个人。Sullivan在诉讼中,他的律师团队描绘了一家公司(优步)试图重塑品牌形象,并把他当成替罪羊的画面。“这实在令人遗憾,因为后果是由一个或几个人来承担,尽管确保事故不发生是一项组织内部的集体努力,”前Kroger、DIRECTV和TransUnion公司首席信息安全官 (CISO)的Karthik Swarnam说道。
为了避免成为替罪羊(这也是网络安全专业素养之一),CISO应建立清晰稳固的沟通渠道,将其他董事会成员纳入网络安全决策过程。
“首先,您需要建立一个企业风险委员会,明确定义每个人的角色和职责,”Swarnam建议道,并补充说,“风险管理需要两件事:将风险传达给正确的人和正确的组织,并与他们合作制定解决问题的计划。”
Nall和 Sullivan都同意,沟通和协作是安全领导者在最坏情况下可以依靠的安全网。“归根结底,所有这些案件的共同点都是:跨职能团队之间的沟通没有达到应有的程度,”Nall说。“首当其冲的不是律师、高管或董事会,而是信息安全人员。”
以下是一些法律和安全专家给出的风险管理建议,可帮助安全领导者避免成为网络安全事故的替罪羊:
确保您对组织的网络安全风险和威胁有一个清晰的理解。制定并实施有效的网络安全策略和程序。定期培训和教育员工加强网络安全意识。及时有效地响应安全事件。与执法部门和其他政府机构建立良好的关系。保留所有相关文档和通信记录。遵循以上建议可以帮助安全领导者降低被起诉或入狱的风险。但需要注意的是,即使采取了所有正确措施,也无法完全消除风险。网络安全是一个极其复杂的领域,威胁不断发展变化,安全领导者始终面临着巨大的不确定性压力。
最终,保护企业免受网络攻击的最佳方法是建立强大的安全文化,并将网络安全置于所有决策的中心。这需要整个组织的共同努力,包括高管、员工和安全领导者。CISO的关键任务之一就是“让网络安全成为所有人的责任。”
总结
今天,包括CISO/CSO在内的网络安全领导者面临着越来越大的风险,甚至可能因网络安全事故而被起诉或入狱。为了降低这种风险,安全领导者需要采取主动措施,了解政府调查如何运作、政府如何与公司互动以及公司在解决案件时所面临的利害关系。CISO还应该建立清晰稳固的沟通渠道,并制定有效的网络安全计划。
参考链接:
https://www.darkreading.com/cybersecurity-operations/a-cisos-guide-to-avoiding-jail-after-a-breach