在2014年索尼影視攻擊事件后，有消息稱在攻擊之前，索尼高管曾收到勒索郵件。這突出表明，高管和行政管理員應該要了解如何應對這些情況。當企業(yè)遭遇電子郵件敲詐事故時，該采取怎樣的措施來應對呢?員工應該做什么、不應該做什么、應該與誰聯(lián)系等……

[[140630]]

企業(yè)是否應該為被劫持的信息或計算機支付贖金?在倫理上來看，答案是否定的。而在實際角度來看，基于資產(chǎn)的重要性，你可能不得不這樣做。如果你不支付贖金，將可能對你企業(yè)的可行性、聲譽或財務狀況產(chǎn)生不利影響，那么你就沒有別的選擇。如果企業(yè)可以接受這種業(yè)務損失，那么就不應該支付贖金，并應集中注意來遏制和防止這種事件的再次發(fā)生。

在高管或行政管理員收到包含贖金要求的勒索電子郵件時，首先，他們不應該回復電子郵件。雖然這個道理很簡單，但敲詐或威脅電子郵件的收件人畢竟是有情感的人類，例如恐懼和恐慌，他們可能對郵件做出回應，而這會使局勢更加惡化。下面讓我們看看不應該做的事情的清單：

• 不要回復這種電子郵件

• 不要驚慌

• 不要刪除該電子郵件

• 不要點擊該電子郵件中的任何圖片或鏈接

• 不要保存該電子郵件到你的硬盤驅(qū)動器或外部存儲設(shè)備，例如USB驅(qū)動器

• 不要將該電子郵件轉(zhuǎn)發(fā)給企業(yè)內(nèi)部或外部的任何人

• 不要向高管保密該電子郵件

• 不要打電話、發(fā)郵件或使用社交媒體告訴朋友或同事這件事情

• 不要馬上致電當?shù)貓?zhí)法部門、FBI或特勤局

你需要立即做的事情是告知你公司的CSIRT(計算機安全事件響應小組)。如果企業(yè)沒有CSIRT，則應該開始進行收集和測試。隨后，CSIRT可以快速判斷事故的嚴重程度以采取措施來遏制、整治和控制事故。CSIRT通常會聯(lián)系高層管理人員，但如果事故涉及高管或者他們的行政助理，CSIRT則會打電話給指定的高級管理人員或CISO來開始進行調(diào)查。

根據(jù)事件的嚴重程度，CSIRT領(lǐng)導和管理人員將判斷他們是否應該致電本地和/或聯(lián)邦執(zhí)法部門。CSIRT通話清單應該包含所有現(xiàn)有執(zhí)法部門聯(lián)系人姓名和電話號碼。

雖然高管網(wǎng)絡安全培訓是經(jīng)常會討論的話題，并且在美國企業(yè)董事協(xié)會(NACD)、世界經(jīng)濟論壇、克林頓全球倡議、《財富》婦女峰會和《華爾街日報》CEO大會等高管會議中也常提到這個話題，但現(xiàn)在仍然沒有正式的可行的高管網(wǎng)絡安全培訓。

我們很難讓高層管理人員坐下來接受培訓，即使是針對網(wǎng)絡安全。不過，這種情況正在迅速改變?，F(xiàn)在高管開始意識到，在數(shù)據(jù)泄露事故、黑客攻擊或重大安全事件后，糟糕的安全機制可能讓他們承擔個人責任，并受到經(jīng)濟處罰或監(jiān)禁。

如果網(wǎng)絡安全成為董事會經(jīng)常談論的話題，高管將會開始關(guān)注網(wǎng)絡安全問題。網(wǎng)絡安全應該整合到董事會討論話題，作為開展業(yè)務的正常部分?，F(xiàn)在有很多不同的方法來整合安全討論與典型的圓桌討論會，例如上市公司確定網(wǎng)絡安全風險是否應該涵蓋在提交給證券交易委員會的10-K表格的風險因素披露中，或者高級管理層需定期向董事會報告企業(yè)的網(wǎng)絡安全、企業(yè)安全管理和合規(guī)性狀態(tài)。

在筆者看來，網(wǎng)絡安全培訓是CISO的責任。高管需要關(guān)注很多不同的事情，當事故發(fā)生時，例如電子郵件敲詐勒索或數(shù)據(jù)泄露事故，他們應該深喑事件響應協(xié)議。否則，他們會讓自己陷入困境，并且，應對危機的響應將是被動的、沖動的，總是帶來不利的影響。

不要排除高層管理人員和行政工作人員。在勒索事件中，他們應該在第一時間知道怎么做，這一點至關(guān)重要。同時，網(wǎng)絡安全應該作為董事會的討論話題，以提高和保持安全意識。圍繞網(wǎng)絡安全的話題應該包括網(wǎng)絡安全保險、網(wǎng)絡安全政策、當前網(wǎng)絡安全事件場景以及它們對企業(yè)的影響。請確保在網(wǎng)絡安全的討論中所有高管及其行政助理都有出席。