近年来,针对顶级网络安全专业人士的最新法律诉讼在信息安全界引起了震动,引发了大量安全从业者的恐惧。他们担心在突发的网络安全事件中,在混乱状态下做出的错误决定很有可能会使其失去工作、损失财产甚至失去自由。
此前,优步公司(Uber)的相关案例最令人瞩目。优步的前首席信息安全官Joe Sullivan被陪审团认定,其在2014年优步系统被入侵后,犯有妨碍公务程序和未报告不当行为的指控,于 2023 年被判处三年缓刑,并被勒令支付 5 万美元罚款。
2023 年10月,美国证券交易委员会宣布对 SolarWinds 及其首席信息安全官Timothy G. Brown提起诉讼,指控其在2020年俄罗斯国家威胁行为者入侵该软件公司时存在欺诈和内部控制失误,涉及已知的网络安全风险和漏洞。
这些事实引发了网络安全从业者的担忧,这些起诉的结果将对CISO履行职责的方式产生寒蝉效应,尤其是在重大网络安全事件中。在突发的、重大的网络安全事件发生时,CISO及安全团队需要立刻做出决断,但这些起诉结果让他们犹豫不决,或许一些有争议的决定就会让他们成为替罪羊。
Sullivan在今年的RSA大会上,在“被起诉的首席信息安全官:案例研究、经验教训和下一步行动”论坛的圆桌会议上表示,部分CISO认为自己就像水里的青蛙,现在水温正在升高,相信不会有人喜欢这种感觉。为了逐渐适应“热度”,CISO需要确保自己能够做出绝对正确的决定。
由现任和前任 CISO 组成的圆桌会议强调,在这种环境下,CISO 需要正视自己的角色和职责,让合适的人参与事件响应和决策过程,并勇于坚持自己的信念,以最大限度地降低他们面临与 Sullivan 和 Brown 相同命运的风险。
随着网络事件日益频繁和突出,CISO 的角色已成为避雷针。Team8 Ventures 的合伙人兼 CISO Charles Blauner 在圆桌上表示,此前,CISO做出了错误决定只会被炒鱿鱼,还能继续寻找下一份工作。而现在,CISO做出的错误决定很可能导致家庭破产,其本人会坐牢,并将大概率失去在行业继续工作的机会。Blauner 认为,CISO对于自身安全风险的计算方式需要变一变了。
Blauner 还提到,水温持续升高的现实原因是,政府等实体正在将对抗网络犯罪的责任分摊到每一个从业者的头上。此前,某企业发生安全事件可能不会引人注意,但现在,几乎全世界都会关注。
对此,Blauner 向 CISO 们提出的保护自己建议,检查每一份治理文件,真正确保其中明确规定了角色和责任,特别是围绕谁来做出风险管理决定。
Sullivan 认为,企业应对网络事件的最终责任应完全由首席执行官承担。在他看来,所有CISO必须摆脱一种思维,那就是所有决定都由安全团队负责。这些决定通常是由CEO和董事会层面做出的,他们签字并对所有决定表示认可,这就意味着他们需要承担起责任。
Sullivan表示,在他的庭审中,法官问他在 Uber 事件中CEO去了哪里。他说:“我认为这就是未来几年的焦点所在。我认为,在 SolarWinds 案中,当美国证券交易委员会开始深入调查时,他们会发现,这是一个在有限资源下尽力而为的安全团队。”
Blauner 表示,CEO和董事会有责任为安全团队提供资源。很多人愚蠢地认为,预算决策由 CISO 做出。“以我20年的CISO职业经历来看,在预算方面,我可以询问,但我永远无法决定。”
CISO应采取的另一项保护措施是,事先确保在做出艰难决定时有合适的人参与。甲骨文 SaaS 云安全工程和运营组织的 CISO David Cross表示,CISO需要和别人合作,CISO在工作中需要和很多人合作。你必须与开发人员和工程师合作;你必须与运营部门合作。所以,某些决定是CISO本人的决定吗?不,这是合作带来的共同决定。
如果没有更好的方式,CISO就必须在所有合作伙伴和高管中建立标准,并要求这些人共同遵守。这些作出决定的标准都会记录在案,在公司内部公开。因此,当出现任何问题时,谁在做决定就一目了然了。
Blauner 指出,在上一次银行业危机之后,银行不得不制定需要董事会批准的风险容忍度声明。“这份声明其实就是一个框架,其中包括董事会讨论得出的结论,什么可以接受,什么不能接受。”
CISO们面临的一个棘手问题是,如果网络事件引发诉讼,是否应要求组织购买涵盖独立法律代表的保险。Cross表示,如果CISO需要在诉讼期间聘请律师,那么就需要能够为个人提供保障的保险,而且费用也能得到支付。
如果在事故发生过程中,CISO提出需要独立的律师,公司会如何看待?他们会认为CISO为了避免个人受到牢狱之灾,从而牺牲公司的利益。所以说,CISO需要提前向董事会申请独立律师,以免失去公司的信任。
想要降低个人风险,最重要的一条原则是及时且频繁地参与法律咨询。在发生数据泄露事件时,CISO应该立即确定公司的法律顾问是谁,并与这些律师取得联系。与律师的初次讨论时应该提前准备以下内容:
1.在事件发生后,公司谁应该知晓,谁不应该,需要有明确的人物清单。
2.公司的法律顾问是否能代表你及你的公司,如果不能,应如何寻找律师。
3.询问关于律师-客户特权的信息。律师-客户特权是一项关键的保护措施,无论是否涉及法律行动,都必须保持,如果因泄露而采取法律行动,则尤其如此。
4.询问关于“诉讼保留”的情况,这是一项来自法律顾问的指令,要求公司内所有相关部门即使在正常商业操作中也不得销毁文件。这一决定和指示的范围应由法律顾问提出,但你和其他人必须了解这一概念及其在你的情况下如何使用的具体细节。简单来说,你的法律顾问会希望避免被指控销毁证据。
5.询问需要移交给法律顾问的文件。这通常会包括索赔人提交的索赔材料,你的组织内有关索赔的文件记录,任何有关数据安全的政策或适用指南,以及你已经生成或收集的任何材料。
6.准备向法律顾问提供你对事件的详细描述,以及识别可能涉及所声称事件的其他公司控制的人员及支持文件。他们可以指导事件响应并提供法律建议以限制组织和你个人的责任。
7.询问法律顾问任何其他你想到的问题。有哪些问题引起了你的注意,那么就值得与法律顾问分享。
CISO 可以采取的另一个保护自己免受潜在诉讼的关键步骤是,当管理层提出有问题的行动时,向他们提出质疑。Blauner 表示,这就意味着,CISO必须有勇气坚持自己的信念。
Blauner 的一位上司在准备董事会会议时,将某一个问题交给了董事会来解决。对此,Blauner 说:“如果你把这个问题带到董事会上,他们问我,我会在董事会面前表示不同意。”他认为,CISO要直言不讳。要有勇气表达这种观点。
Sullivan表示,尽管对可能被起诉的担忧不断升温,但CISO们应该感到欣慰的是,“只有一名 CISO 被起诉,而且没有人锒铛入狱”。
他表示,CISO们应该重视这些建议,但不应该每天都想着他们。成为CISO的目的不是为了避免被起诉,而是更好地保护国家和人民,这才是是CISO每天的首要任务。
某大型医疗集团安全负责人楚春鹏表示,我国目前也出台了针对数据安全的法律,数安法、个保法等,对于CISO来说,我认为帮助企业满足国家监管和合规的要求是安全工作的重点之一。可以从两方面来看,第一是强合规要求可以反向推动企业增加安全预算或者加强企业安全人才队伍建设,来帮助企业降低安全风险,尤其是数据泄漏风险。第二我认为CISO在企业中应当形成定期与管理层汇报机制,将安全风险与法律要求需承担的责任灌输给管理层,并形成责任共担机制。
其实类似的法律法规对于安全从业者是有帮助的,很多安全从业者在企业中推进安全工作阻力较大,法律法规作为国家顶层的合规要求可以作为安全从业者推动安全工作的有力依据。
某安全从业者表示,从某种意义上来说,CISO更像是企业的安全顾问。任何企业都会具备一定的安全风险,而CISO的作用就是发现并提供多种降低风险的策略,做与不做都由更高层的管理者决定。所以,任何责任都应该是公司责任,而非个人责任。
对于CISO来说,想要避免个人成为企业的替罪羊,就要积极发现和解决现存的安全问题,并与上级及董事会充分沟通。此外,个人也需要保留充足的证据,以证明决定是由组织个人决定,而非本人。最后,在发生安全事件时,尽可能避免做出违规操作,将风险控制在自己手中,毕竟离职只是小事,避免锒铛入狱才是人生大事。
原文始发于微信公众号(安在):那些已经“背锅”的CISO都说了些什么?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论