監(jiān)管機(jī)構(gòu)向國(guó)會(huì)通報(bào)重大信息安全事件

美國(guó)貨幣監(jiān)理署(OCC，Office of the Comptroller of the Currency)周二向國(guó)會(huì)通報(bào)了一起涉及系統(tǒng)管理賬戶(hù)的"異常交互"事件。OCC是美國(guó)財(cái)政部的獨(dú)立機(jī)構(gòu)，負(fù)責(zé)特許、監(jiān)管和監(jiān)督所有美國(guó)國(guó)家銀行。

根據(jù)一份聲明，OCC已按照《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)要求，向國(guó)會(huì)通報(bào)了這起被定性為"重大信息安全事件"的情況。聲明指出："這一發(fā)現(xiàn)是基于對(duì)OCC電子郵件及附件進(jìn)行的內(nèi)部和獨(dú)立第三方審查結(jié)果，這些郵件遭到了未經(jīng)授權(quán)的訪(fǎng)問(wèn)。2025年2月11日，OCC發(fā)現(xiàn)其辦公自動(dòng)化環(huán)境中的系統(tǒng)管理賬戶(hù)與用戶(hù)郵箱之間存在異常交互。"

事件響應(yīng)與處置過(guò)程

2025年2月12日，OCC確認(rèn)該活動(dòng)屬于未授權(quán)行為，立即啟動(dòng)了事件響應(yīng)協(xié)議，包括委托獨(dú)立第三方進(jìn)行事件評(píng)估，并向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)報(bào)告。同日，OCC禁用了遭入侵的管理賬戶(hù)，確認(rèn)未授權(quán)訪(fǎng)問(wèn)已被終止。OCC于2月26日向公眾發(fā)布了事件通告。

周二公布的一份報(bào)告顯示："2023年6月入侵財(cái)政部貨幣監(jiān)理署的未知攻擊者獲取了超過(guò)15萬(wàn)封電子郵件的訪(fǎng)問(wèn)權(quán)限。"加拿大安全意識(shí)培訓(xùn)提供商Beauceron Security負(fù)責(zé)人David Shipley對(duì)此表示，對(duì)OCC和整個(gè)國(guó)家銀行業(yè)來(lái)說(shuō)，最好的情況可能是"非常、非常、非常幸運(yùn)"，如果這只是一次國(guó)家行為體進(jìn)行的間諜和準(zhǔn)備工作的話(huà)。

Shipley指出，最壞的情況是OCC監(jiān)管的一家或多家實(shí)體因郵件泄露而遭到入侵。"這令人震驚，而且正值美國(guó)在改善網(wǎng)絡(luò)安全方面所做的良好工作面臨巨大壓力之際，既要限制監(jiān)管成果和洞察力，又要調(diào)配資源應(yīng)對(duì)此類(lèi)事件。"

專(zhuān)家警示與深層反思

Shipley補(bǔ)充道："如果這都不能說(shuō)明美國(guó)需要立即調(diào)轉(zhuǎn)方向，加大對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的投資，我不知道還有什么能說(shuō)明問(wèn)題。我們絕對(duì)需要一份完整、透明的事件報(bào)告，以便從中吸取教訓(xùn)。"他指出，OCC作為監(jiān)管機(jī)構(gòu)的事實(shí)"并不意味著它獲得了足夠的資源來(lái)保護(hù)自己。我認(rèn)為需要提出一個(gè)重要問(wèn)題：這些極其重要的機(jī)構(gòu)是否獲得了足夠的資源來(lái)自我保護(hù)？很可能，如果你深入調(diào)查，會(huì)發(fā)現(xiàn)IT團(tuán)隊(duì)資源極度緊張，工作過(guò)度，保護(hù)自身的資金不足。這極具諷刺意味，但對(duì)我來(lái)說(shuō)并不意外。"

關(guān)于事件主謀，Shipley表示："敢于針對(duì)財(cái)政部的攻擊者真的非常大膽。要知道，這里可是特勤局的駐地，而特勤局負(fù)責(zé)調(diào)查金融網(wǎng)絡(luò)犯罪。你這是在招惹地球上資源最雄厚的機(jī)構(gòu)之一。但這說(shuō)明了一些問(wèn)題：有人覺(jué)得有足夠膽量實(shí)施這次攻擊，而且長(zhǎng)期未被發(fā)現(xiàn)，這應(yīng)該讓人們感到恐懼。"

OCC官方回應(yīng)與安全措施

OCC發(fā)言人周二晚間在一份電子郵件聲明中表示，該機(jī)構(gòu)是在代理貨幣監(jiān)理署長(zhǎng)Rodney E. Hood宣誓就職的第二天發(fā)現(xiàn)郵件系統(tǒng)遭到未授權(quán)訪(fǎng)問(wèn)的。2月25日，Hood"收到了關(guān)于此事的高層簡(jiǎn)報(bào)，OCC于次日向公眾發(fā)布了事件通告。當(dāng)時(shí)，Hood先生尚未獲得關(guān)于未授權(quán)訪(fǎng)問(wèn)的完整持續(xù)時(shí)間，以及受影響電子郵件通信的具體數(shù)量和內(nèi)容的詳細(xì)信息。"發(fā)言人指出，OCC已聘請(qǐng)第三方網(wǎng)絡(luò)安全專(zhuān)家對(duì)調(diào)查和取證工作進(jìn)行全面審查。

發(fā)言人表示："OCC運(yùn)行著全面的信息安全和網(wǎng)絡(luò)保護(hù)計(jì)劃，以保護(hù)其關(guān)鍵信息資源，包括其保管的敏感金融機(jī)構(gòu)信息。"該機(jī)構(gòu)實(shí)施的安全和隱私控制措施達(dá)到或超過(guò)了美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)，并持續(xù)評(píng)估這些控制措施的有效性。