雅虎、優(yōu)步、SolarWinds...在大洋彼岸，隨著美國政府將越來越多的CISO送上法庭，網(wǎng)絡(luò)安全行業(yè)開始質(zhì)疑這種通過“殺CISO祭天”的方法是否真的有利于激勵更多企業(yè)提升網(wǎng)絡(luò)安全措施和能力。

“背鍋俠”最佳人選

2016年4月，時任美國總統(tǒng)奧巴馬任命優(yōu)步首席安全官(CSO)Joe Sullivan進入"國家網(wǎng)絡(luò)安全委員會"。四年后的今天，Sullivan卻在研究如何在獄中安全度日。他原本是一位履歷特殊的網(wǎng)絡(luò)安全高管，職業(yè)生涯的前八年都在美國司法部步步高升，隨后五年擔任助理美國檢察官。他甚至還曾代表政府處理了首例涉及《數(shù)字千年著作權(quán)法》(DMCA)的案件：美國訴Elcom公司案。可以說，Sullivan對網(wǎng)絡(luò)安全法律、商業(yè)和現(xiàn)實的理解無人能出其右。然而，卻因為在2016年11月處理一起重大數(shù)據(jù)泄露事件不當，他至今仍在法庭上為自己辯護。

律師事務(wù)所貝克麥肯齊合伙人杰斯·Nall (Jess Nall)表示：“美國政府擁有巨大權(quán)力，可以用非常不公平的方式碾壓個人。在過去10年里，網(wǎng)絡(luò)安全主管以及其他信息安全專業(yè)人員（包括隱私和數(shù)據(jù)安全律師以及其他信息安全人員）在重大網(wǎng)絡(luò)攻擊發(fā)生時首當其沖地被推出來頂罪。”

Nall曾成功為雅虎遭受歷史性重大數(shù)據(jù)泄露事件后的員工進行辯護?，F(xiàn)在，她將在Black Hat 2024大會上的演講中分享她的經(jīng)驗教訓。她總結(jié)說，今天的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者正面臨前所未有的被大規(guī)模起訴的風險。

入獄風險嚇跑CISO人才

多年來，各國政府一直試圖通過利誘和威逼的方式讓企業(yè)更好地管理用戶數(shù)據(jù)。對此，Sullivan 在接受采訪時表示：“我認為我們現(xiàn)在正處于最艱難的過渡時期?！彼貞浾f，在他為奧巴馬政府工作時，“我們最糾結(jié)的問題是：聯(lián)邦政府如何讓企業(yè)做出更多網(wǎng)絡(luò)安全方面的承諾？很長一段時間以來，政府采取的做法都是公私合作伙伴關(guān)系和協(xié)作。如今的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA) 仍然在做著類似的工作。但拜登政府在2023年3 月發(fā)布的國家網(wǎng)絡(luò)安全政策中非常明確地表示，我們已經(jīng)決定將責任轉(zhuǎn)移給那些有能力做到這一點的企業(yè)——私營部門的大型企業(yè)?！?/p>

由于美國國會的內(nèi)耗，訴訟成為一種迫使企業(yè)行為端正的迂回做法?！靶姓块T正因網(wǎng)絡(luò)安全問題而備受責難，因此轉(zhuǎn)向執(zhí)法行動，即可通過法律法規(guī)進行監(jiān)管，也可以通過判例法進行監(jiān)管。所以政府提起的所有訴訟都是在努力創(chuàng)造判例，” Sullivan解釋道。當然，起訴匿名組織或外國黑客對任何一方都沒有好處?！澳敲?，為了起到威懾目的，他們想把誰樹立成典型呢？”Nall反問道。“通常是美國本土的某個人，通常是這些被攻擊的公司里的某個（負責網(wǎng)絡(luò)安全的）人?！?/p>

美國政府公訴人的想法非常樸素：法律嚴懲的案例會刺激那些原本誤導(dǎo)、疏忽或惡意安全領(lǐng)導(dǎo)者采取行動。但有人私下里表示，這種做法已經(jīng)產(chǎn)生了一些負面影響。“網(wǎng)絡(luò)安全專業(yè)人員的需求已經(jīng)非常強勁，我認為任何阻礙美國吸引人才的做法都是有害的。我認為人們現(xiàn)在對擔任CISO的職位感到擔心，”Nall說道。她補充說，當最優(yōu)秀的人才對擔任領(lǐng)導(dǎo)角色感到猶豫時，“我聽說過這種情況：一些人資歷尚淺就擔任了CISO職位，被要求承擔超出他們能力范圍的工作。由于需求如此之大，擔任該職位的角色質(zhì)量正在下降。我認為，所有數(shù)據(jù)安全捍衛(wèi)者的質(zhì)量都將下降?！?/p>

CISO能做什么？

Nall表示，避免陷入困境的關(guān)鍵在于認識三件事：政府調(diào)查如何運作，政府在調(diào)查過程中如何與公司互動，以及公司在解決案件時所面臨的利害關(guān)系。例如，在壓力之下，企業(yè)可能會被迫點名批評個人。Sullivan在訴訟中，他的律師團隊描繪了一家公司(優(yōu)步)試圖重塑品牌形象，并把他當成替罪羊的畫面?！斑@實在令人遺憾，因為后果是由一個或幾個人來承擔，盡管確保事故不發(fā)生是一項組織內(nèi)部的集體努力，”前Kroger、DIRECTV和TransUnion公司首席信息安全官 (CISO)的Karthik Swarnam說道。

為了避免成為替罪羊（這也是網(wǎng)絡(luò)安全專業(yè)素養(yǎng)之一），CISO應(yīng)建立清晰穩(wěn)固的溝通渠道，將其他董事會成員納入網(wǎng)絡(luò)安全決策過程。

“首先，您需要建立一個企業(yè)風險委員會，明確定義每個人的角色和職責，”Swarnam建議道，并補充說，“風險管理需要兩件事：將風險傳達給正確的人和正確的組織，并與他們合作制定解決問題的計劃?！?/p>

Nall和 Sullivan都同意，溝通和協(xié)作是安全領(lǐng)導(dǎo)者在最壞情況下可以依靠的安全網(wǎng)?！皻w根結(jié)底，所有這些案件的共同點都是：跨職能團隊之間的溝通沒有達到應(yīng)有的程度，”Nall說?！笆桩斊錄_的不是律師、高管或董事會，而是信息安全人員?！?/p>

以下是一些法律和安全專家給出的風險管理建議，可幫助安全領(lǐng)導(dǎo)者避免成為網(wǎng)絡(luò)安全事故的替罪羊：

• 確保您對組織的網(wǎng)絡(luò)安全風險和威脅有一個清晰的理解。
• 制定并實施有效的網(wǎng)絡(luò)安全策略和程序。
• 定期培訓和教育員工加強網(wǎng)絡(luò)安全意識。
• 及時有效地響應(yīng)安全事件。
• 與執(zhí)法部門和其他政府機構(gòu)建立良好的關(guān)系。
• 保留所有相關(guān)文檔和通信記錄。

遵循以上建議可以幫助安全領(lǐng)導(dǎo)者降低被起訴或入獄的風險。但需要注意的是，即使采取了所有正確措施，也無法完全消除風險。網(wǎng)絡(luò)安全是一個極其復(fù)雜的領(lǐng)域，威脅不斷發(fā)展變化，安全領(lǐng)導(dǎo)者始終面臨著巨大的不確定性壓力。

最終，保護企業(yè)免受網(wǎng)絡(luò)攻擊的最佳方法是建立強大的安全文化，并將網(wǎng)絡(luò)安全置于所有決策的中心。這需要整個組織的共同努力，包括高管、員工和安全領(lǐng)導(dǎo)者。CISO的關(guān)鍵任務(wù)之一就是“讓網(wǎng)絡(luò)安全成為所有人的責任?！?/p>

總結(jié)

今天，包括CISO/CSO在內(nèi)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者面臨著越來越大的風險，甚至可能因網(wǎng)絡(luò)安全事故而被起訴或入獄。為了降低這種風險，安全領(lǐng)導(dǎo)者需要采取主動措施，了解政府調(diào)查如何運作、政府如何與公司互動以及公司在解決案件時所面臨的利害關(guān)系。CISO還應(yīng)該建立清晰穩(wěn)固的溝通渠道，并制定有效的網(wǎng)絡(luò)安全計劃。