信息安全事件捂着盖着还是立即通报

中华民族的复兴和崛起主要依赖国民的奋发图强,在全球化大时代背景下,西方当代文明带给我们的积极影响,我们也不能否认。

信息时代风云变幻莫测,源自英美强国的信息安全管理体系ISMS方法在全球政治经济一体化的大环境下演变成了ISO国际标准。毕竟,保护好全球互联网的安全,需要一个可以进行跨国紧密合作的沟通框架;在企业间的信息安全交流和管理中,也需要有共同的语言来建立互信机制。

数千年来,多次朝代更替,中原文化也多次历经外族入侵,然而主体的中华文化特性却能始终保持下来。随着知识经济全球化以及互联网的迅速发展,西方文化对我们的影响也日益增强,不过相信精华将被吸取,糟粕将被摒弃。ISO 27001信息安全管理标准在面临中国几千年传统文化之时,会产生什么碰撞和融合效果呢?今天我们来探讨一下信息安全管理体系中的一个重要话题——信息安全事件管理。昆明亭长朗然科技有限公司的企业安全顾问James Dong说:在信息安全事件的披露和响应方面,西方文明讲求事实和科学;而中华文明则关注伦理与影响。

如何有效响应信息安全事故呢?这里面并没有中西文化优劣之说,但却值得我们细细思索和采取必要的措施。James举例说:大到国家层面的信息安全监管机构,小到公司部门的安全协调人员,都很难让人们主动报告信息安全事件。这就如同领导上台提倡让下属们进行自我批评一样,几乎没人会真正来揭丑亮短,这就是中国公司很少有信息安全事故报告出来的主要原因。

明眼的信息安全管理人员会制定相关的制度,以期通过惩戒“隐瞒不报”、“迟报”、“谎报”等手段来激励人们报告信息安全事故。这能起来一部分的效果,但是并不足够。因为“一票否决”、一把手负责等等政治因素,加上责任和面子,会让安全事件发现人员和级级的领导阶层先做一个评估。评估是为了决定私下大事化小、小事化了,捂着盖着,还是乖乖上报。

此外,即使有一个机构或部门中的某个环节出现一点纰漏,整个机构或部门帮忙“打掩护”的情况也很多见。为什么这些人们要这样呢?他们仅仅只是为了自己小范围的利益而牺牲大范围的集团利益吗?答案并非如此,原因在于人们不理解信息安全事故报告和处理思想及流程。James分析出如下几条常见的心态:

1.在中华传统文化中,事故往往是不好的,丑事坏事都不吉利,应该尽量规避,好事不出门,坏事传千里,我们不应该记录和传播不好的事儿。

2.出事是不应该的,出事儿意味着责任心不足、态度不好或能力有问题……这些无疑将带来负面的影响,不想在仕途或职场倒霉就别让这传播出去。

3.在我这弄出的事儿,我这儿要给它灭了,不要去劳烦上司。等事儿给解决了,可能领导也不过问了,即使再报告或许也能获得个从轻发落,甚至因为响应及时而获得领导的褒奖。

对公司信息安全管理负责人来讲,要让员工们及主管经理们建立正确的信息安全事件观念,可不能不考虑这些固有的文化心态。在了解这些心态之上,采取必要的安全意识沟通教育,方能建立健全有效的信息安全事件管理流程。

博客相继被黑给科技公司的启示

近期,科技公司博客站点被黑的案子越来越多,造成系统的用户邮箱及密码等信息失窃,相信会给上下游的其它科技公司带来一定的安全管理启示。

关注互联网安全新闻的朋友们应该知道一个常识,就是几乎每周都会有黑客攻击造成密码泄露的安全事故发生。

这些安全事故多数发生在国外,但并不表示国内的事件不多,因为法治严谨的发达国家多会严格规定各组织机构在受到黑客攻击之后要立即通知受影响客户,而相对自由独立的海外媒体会捕捉并公开这些“丑闻”,通过引导大众,进而给那些遭遇安全事故的组织以压力。

国内的组织机构往往担心遭受巨额索赔或罚款,或者怕给商业信誉带来不良影响而喜欢疏通政府和媒体关系,企图通过公关来捂住“丑闻”,进而希望将大事化小,小事化了。

在笔者的安全审计工作中,经常有碰到客户拿出一大堆安全管理文档和流程,但没有相关的记录,就安全事件响应流程方面,多数客户称组织内部并没有严重安全事故发生过,这令人哭不得。

事实上,任何组织难免都会遭遇安全事故,“不经历风雨,怎能见彩虹”,小孩在学习走路掌握身体平衡的过程中必定要经历一些摔打的,那些自称没有经历过严重信息安全事故的组织在安全管理方面肯定是不成熟的,因为成熟的安全事故响应体系会要求有详细的事故响应处理记录、根本原因分析以及防范再次发生的根治措施。没有这些记录或报告,是企图在表明安全运行状态一直很良好呢?还是在从侧面证明安全管理水平一直处于混沌而不成熟的状态呢?

当然,安全事故发生后的响应目标是将损失降至可能最低,这里面的损失最重要的是商业信誉,诚然,目前国内几家互联网公司的流氓黑社会行为很令人不齿,这主要原因是大量的用户都是互联网安全小白,他们缺乏辨识是非正误的能力,以便被绑架了都不知晓。

事实上,那些流氓黑社会尽管短期获得了所谓的“成功”,但一点都不受社会中坚阶层如白领精英们的尊重,随着社会大众的互联网安全意识的提升和中产阶级队伍的扩大,那些没有基本商业道德准则,不讲信誉的流氓行径会受到越来越多人的唾弃,不过我们似乎也应该相信,少部分黑社会也可能会在积累了血泪资本之后通过洗钱等手段而逐渐转向正路。

我们提到的这“正路”,是指尊重比较普世的商业价值,就互联网安全事故来讲,至少有一条,是善待客户,连客户网络帐户被窃的基本知情权都给剥夺了,还谈什么客户至上,提高服务质量,改进客户满意度,超越客户期望,给客户带来最佳体验……

在普世商业价值观的指导下,回到安全事故响应的目标,将可能的损失降至最低,降低谁的损失?有人们往往会错误地将自身和客户的利益对立起来,这是严重违背普世商业伦理的,就比如你不能以更低的价格向客户提供更好的产品或服务,不要坑蒙拐骗,最好在你能做到更有竞争力之前推荐客户去其他家。因为当今竞争激烈,尽管建立客户的忠诚度难,但是你的坑蒙拐骗行为可能无疑是在将难上加难。

当你提供的互联网服务出现问题时,比如用户的密码外泄时,应该马上响应、迅速通知受影响的用户,并在技术层面帮助用户挽回可能的损失,比如要求用户登录之后立即更改密码、加入手机验证码之类的多重身份验证机制、暂时锁定那些未修改密码和确认身份的帐户进行虚拟财产交易、加强异常登录监控等等,这些措施都能够给服务质量带来积极的影响,因为安全事故已经发生,用户能理解而且只能接受现实,良好的补救措施反而会给商业信誉加分。

更多的,就是分析事故发生的根本原因,制定防范措施,相信组织内部的管理和沟通协调不是大的问题。对外,在制定这些安全措施的同时,也需要加强对系统用户的安全意识教育和安全措施使用培训,昆明亭长朗然科技有限公司的安全咨询顾问James Dong认为有有几点是必需的:

1.教育用户密码安全,使用强健的密码,包含大小写字母、数字和特殊标点符号,这些正好也可以结合网站密码强度验证功能;避免和其它网站使用相同的密码;定期更改密码等等。

2.注意防范社交攻击和钓鱼攻击,犯罪份子可能会冒充各类身份使用各种下三滥的手段来入侵用户的大脑和计算终端,甚至包括冒充你的网站服务人员来实施诈骗,教育用户不要随意接收可疑文件或点击网络链接。

3.梳理沟通渠道和紧急情况响应指南,便于用户在发现异常或问题时及时报告,以便采取适当的安全响应措施。

4.注意社交网络安全,动态网站论坛和博客被黑的概率要远高于静态网站,社交网络里的一些互动内容更是不能轻易相信,也不要在社交网站发表可能会犯罪份子利用的言论。

最后相信您已经知道,网站、应用平台和数据的安全维护关键在科技公司,但记住最终客户的水准提升上来,才是保障商业流程安全的核心,因为最终用户的安全意识低下是整体商业流程中最严重的安全漏洞,最终用户可能也是网络犯罪等安全威胁所最为关注的目标,还是一个较为散漫的大群体。