当前位置: 首页 > 科技观察

如果组织发生网络安全事件,高管是否应该承担责任?

时间:2023-03-19 09:58:44 科技观察

一些网络攻击,尤其是目前看似永无休止的勒索软件事件,对组织造成了一些非常严重的后果,例如面向客户的服务突然中断、生产力损失、收入和声誉损失,而不是更不用说补救成本,例如支付赎金、可能的数据泄露甚至监管罚款。然而,此类网络事件不仅会对组织造成损害,还会导致受害组织的离职。从著名的“Targethack”开始,经过HomeDepot、Sony、Equifax和Imperva黑客攻击,几位CEO在严重的网络事件后被追究责任并被迫辞职。赔钱尴尬:Target在安全事件中损失惨重2013年底,美国零售巨头Target宣布公司遭到黑客攻击,7000万用户个人信息和4000万信用卡数据被盗。私人数据,例如用户名、电话号码、电子邮件地址和信息卡信息。据估计,Target的损失可能达到10亿美元。同时,Target还将向个人受害者支付最高10,000美元的赔偿金,并将增加数据安全保护措施。在内部,因为安全事件,Target解雇了当时的CEO,并重新任命了一名首席信息安全官。人们可能认为CISO(首席信息安全官)是此类攻击的主要受害者,但行业分析师Gartner表示,到2024年,未来的网络攻击可能导致75%的CEO承担“个人责任”。简而言之,整个C-suite需要为成功的网络攻击的后果做好准备,这可能会损害负责保护组织安全的人员的业务和职业。直到最近,企业才能够向公众隐瞒网络事件和数据泄露事件。然而,监管的进步、公众情绪和网络攻击的性质已经改变了这一切。HIPAA、GDPR、CCPA、NYCDFS和许多其他数据泄露通知和隐私法规使公司无法合法地隐瞒他们遭受重大网络事件的事实。试图淡化它的公司和个人可能会受到追究和惩罚,就像Uber的前CISO一样,他现在被指控妨碍司法公正。据称他在2016年试图掩盖一次黑客攻击。Uber在2016年发生了一次重大数据泄露事件,黑客攻击并窃取了5700万名Uber客户和司机的个人数据。Uber并未将此事告知监管机构,而是选择与黑客和解,并支付10万美元让黑客保持沉默。攻击的性质也发生了变化,过去几年的勒索软件攻击向全世界宣布,除了对数据进行加密外,他们还窃取了大量数据。攻击者威胁说,如果他们的赎金要求得不到满足,他们将公布或出售被盗数据。在很多情况下,这意味着公众几乎肯定会知晓事件,此时,如果受害人继续否认甚至评论事件,只会进一步损害受害人的名誉。此外,随着公众越来越意识到其中保存的数据量及其敏感性,越来越多的公司和组织被指责缺乏安全措施。许多消费者现在表示,他们应对其组织的安全漏洞负责,最近的一项调查发现,英国35%的消费者认为CEO是发生网络事件时的第一责任人。2011年,奥地利飞机零部件制造商FACC宣布将解雇其首席执行官沃尔特斯蒂芬,后者因不信任欺诈性电子邮件导致公司损失4700万美元(约合人民币3.09亿元)。监事会的这一决定是由于沃尔特·斯蒂芬的严重不当行为,特别是在“假总统事件”方面。虽然该公司没有透露更多有关骗局的细节,但“假总裁事件”是企业电??子邮件攻击的标志性事件。“假总统事件”指的是在全球蔓延的“CEO邮件骗局”。”,也被称为CEO欺诈或捕鲸。其技术是犯罪分子冒充公司的首席执行官或其他高管,通过电子邮件发出虚假的电汇指令。犯罪分子有时声称资金将用于收购竞争对手,要求保密在其他情况下,高管也被追究责任,因为网络安全现在被认为是一项基本的业务运营要求。例如,2018年,新加坡最大的医疗保健集团SingHealth遭受了大规模数据泄露,暴露了150万条患者记录。被盗记录包括患者的姓名、地址、性别、种族、出生日期和国家登记身份证(NRIC)号码。包括其首席执行官BruceLiang在内的五名高级管理人员因SingHealth的安全漏洞而因“集体领导责任”而被罚款。七个步骤高管如何确保组织安全负责任的组织可以遵循明确定义的企业安全路径这限制了安全漏洞的风险和后果。步骤如下:1.评估您的安全状况第一步是评估您组织的安全状况。最高管理层(CIO、CSO、CISO)需要对组织的安全机制有清晰和最新的了解,包括人员配备水平、培训、系统和程序、事件响应和业务连续性。您是否仍然依赖于今天的攻击者可以轻松绕过的传统防病毒解决方案?谁负责威胁搜寻,多久一次?什么是事件响应程序?在高度安全的环境中,从脚本小子到APT的攻击者都能够访问和使用复杂的恶意软件,因此必须清楚地了解您当前的安全状况。2.要进行网络风险评估,CEO和C级管理人员需要了解组织面临的网络威胁的性质。有许多工具可用于风险评估,包括使用行业基准、政府和执法机构的建议以及威胁情报反馈。风险评估还应包括监管和商业风险,例如网络攻击造成的声誉损害。3.制定企业范围的安全计划:清楚地了解组织面临的威胁和当前的安全态势,就可以评估组织在哪些方面表现良好,哪些方面存在改进空间。根据组织的风险偏好制定解决这些差距的计划至关重要。该计划应包括现代EDR平台、事件响应和缓解能力、备份系统和业务连续性程序。4.分配足够的资源:安全计划制定并获得批准后,必须分配适当的人力、组织和财务资源。这很关键。没有人力和财力支持的计划不是真正的计划,而是一厢情愿。如果一个计划因为需要组织不愿意进行的结构性改变而无法实施,那么这只是一个浪费时间的想法。缺乏完全制定和批准的预算计划表明没有推动变革的真正意愿或意图。5.持续监控:即使有一个实施良好且资源充足的计划,也必须进行监控并向高级管理层报告。仅部分实施、未按预期工作或在实践中未按预期工作的应急计划可能比根本没有计划更糟糕。安全领导者还应监控业务运营的发展以及运营变化如何影响安全计划。例如,突然转向在家工作计划显然改变了组织面临的风险,但有多少企业更新了他们的安全计划和解决方案以考虑到这一点?6.进行外部审计:建议进行外部审计,以验证CISO的计划及其执行情况。这样做的好处包括对您的准备情况和实施情况的无党派、客观的看法,这不仅可以让您在内部确信您正在做正确的事情,而且还可以作为在安全漏洞后快速重建外部信任的重要组成部分。7.计划的可持续性:在安全计划的一个完整阶段结束时,必须评估计划的成功并决定是继续还是进行更改。许多组织认为他们有一个很好的计划,却发现实际上攻击者已经连续数月突破他们的防御。高管如何应对网络攻击?但衡量高管的标准将不仅仅是他们的计划和执行。按计划行事。如果没有,请尽快聘请事件响应和危机管理方面的专家。高管们必须与董事会、员工、客户和媒体及时、公开地沟通,而能够快速、诚实和透明地做出反应的组织往往会得到上述所有方面的支持。例如,2018年美国版“知乎”Quora被黑,影响1亿用户。CEO以非常透明的博文迅速做出回应,向所有用户发送电子邮件,建立了专门的问答网站,并向用户更新了最新情况。总结保护您的组织免受当今网络威胁是企业高管的首要任务。只需聘请IT管理员、安装现成的防病毒软件并在网络外围构建防火墙的日子已经一去不复返了。不再。在当今的云计算世界中,容器化工作负载、远程工作人员和一系列令人眼花缭乱的不安全物联网设备已经改变了网络安全,再加上指数级增长和复杂性要求高管承担越来越多的安全责任。本文翻译自:https://www.sentinelone.com/blog/the-c-suite-guide-to-cyber-safety-7-steps-to-securing-your-organization/如有转载请注明原地址。