一直以來，網(wǎng)絡(luò)攻擊都是現(xiàn)代公司的大敵

　　黑客如同夜幕下的野蠻人，

　　每時(shí)每刻覬覦網(wǎng)絡(luò)安全的脆弱邊境

　　依靠數(shù)據(jù)技術(shù)日常運(yùn)營的投資公司

　　更如臨深淵，如履薄冰……

　　如何保護(hù)自己和客戶的數(shù)據(jù)，防患于未然?

　　根據(jù)CFA Institute今年發(fā)布的報(bào)告《Investment Firm of the Future》(未來投資公司)，24%的受訪者把網(wǎng)絡(luò)安全列為公司內(nèi)優(yōu)先級(jí)較高的技術(shù)重點(diǎn)。未來，隨著科技在投資管理過程中發(fā)揮更大作用，這個(gè)比例會(huì)只增不減。

　　CFA Institute為此專訪Ascendant合規(guī)管理CSS公司的網(wǎng)絡(luò)安全專家E.J. Yerzak先生，就如何防止網(wǎng)絡(luò)攻擊發(fā)生，以及發(fā)生攻擊時(shí)如何有效回應(yīng)尋求專業(yè)建議。一言以蔽之，當(dāng)有備無患。

　　網(wǎng)絡(luò)野蠻人已經(jīng)兵臨城下，較佳的御敵之策是什么?

　　黑客無處不在。在很多情況下，他們已經(jīng)潛入，這是公司需要注意的。

　　不能臨時(shí)抱佛腳，檢測(cè)到網(wǎng)絡(luò)危機(jī)事件的時(shí)候并不是準(zhǔn)備應(yīng)對(duì)計(jì)劃的時(shí)候。當(dāng)觸及州立或國際觸的數(shù)據(jù)泄露通報(bào)期限時(shí)，“時(shí)間”問題非常關(guān)鍵。歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)要求通報(bào)時(shí)間為72小時(shí)以內(nèi)。而鑒于網(wǎng)絡(luò)事件中往往需要很長時(shí)間來確定究竟發(fā)生了什么、可能危及什么、什么文件或文件夾可能被讀取以及事件起始時(shí)間段，這個(gè)時(shí)間短得難以置信。

　　攻擊到底是什么時(shí)候開始的?黑客還在系統(tǒng)內(nèi)嗎?這類調(diào)查需要很長時(shí)間才能搞明白——通報(bào)泄露事件的期限這么短，其實(shí)是增強(qiáng)了對(duì)事件響應(yīng)計(jì)劃和提前準(zhǔn)備的要求，而不是在泄露或網(wǎng)絡(luò)事件發(fā)生之時(shí)抱佛腳。

　　為了不在危機(jī)發(fā)生時(shí)陣腳大亂， 必須提前制定應(yīng)對(duì)預(yù)案，并反復(fù)測(cè)試有效性，才能有備無患。

　　許多公司缺乏憂患意識(shí)，他們借口：“我們沒風(fēng)險(xiǎn)。”“我們是家小公司。根本不是黑客的目標(biāo)”或者“我們是大公司，技術(shù)控制可靠到位，黑客更可能去攻擊那些沒有安全防護(hù)的小公司”。 我認(rèn)為，這些公司可能都錯(cuò)誤計(jì)算了自己的風(fēng)險(xiǎn)敞口。真相是：我們都面臨風(fēng)險(xiǎn)。

　　拋開公司規(guī)模不談，假設(shè)已經(jīng)投入了時(shí)間和精力準(zhǔn)備風(fēng)險(xiǎn)應(yīng)對(duì)方案，當(dāng)網(wǎng)絡(luò)安全事件真的發(fā)生時(shí)，這些預(yù)案有多大效用?

　　如果你想說危機(jī)爆發(fā)時(shí)這些準(zhǔn)備方案都“形同虛設(shè)”，這絕對(duì)是有道理的。因?yàn)榇髷钞?dāng)前一片慌亂時(shí)，能聯(lián)系到人、找到相關(guān)方，甚至開個(gè)一次電話會(huì)議，都可能有難度——面臨的壓力太大了。

　　但這些是提前要準(zhǔn)備的重點(diǎn)。預(yù)測(cè)出每種可能的場(chǎng)景或網(wǎng)絡(luò)安全事件的類型基本上是不可能的事。所以，要為最有可能的情況做準(zhǔn)備，給可能尚未預(yù)料的情況保留一些靈活性。行動(dòng)計(jì)劃應(yīng)該至少堅(jiān)定執(zhí)行，不要有太多傾向性。

　　我重申這個(gè)重要性的另一個(gè)原因是：正如我剛才說的，危機(jī)關(guān)頭壓力如山，需要緊急處理，因此較好未雨綢繆，畢竟解決問題的時(shí)間十分緊迫。你不希望自己判斷失誤，也不愿看到你的團(tuán)隊(duì)因?yàn)槿狈贤?，分別提出了一模一樣或者完全相左的意見。而當(dāng)溝通泄露事件時(shí)，你不希望當(dāng)客戶經(jīng)理還在向客戶做著解釋，而市場(chǎng)營銷部門已經(jīng)在給所有客戶起草一個(gè)統(tǒng)一的事件聲明。

　　為什么在形勢(shì)緊張、同時(shí)有很多事務(wù)都需要優(yōu)先處理的情況下，危機(jī)應(yīng)對(duì)計(jì)劃可以在實(shí)際的網(wǎng)絡(luò)安全事件中發(fā)揮作用?舉個(gè)例子，CTO可能想關(guān)閉系統(tǒng)以防止黑客跳到其他系統(tǒng)，而CEO可能想讓系統(tǒng)繼續(xù)運(yùn)行以避免客戶遭遇服務(wù)暫停。當(dāng)多個(gè)利益相關(guān)方要求做決策，公司還要處理商業(yè)和監(jiān)管影響時(shí)，響應(yīng)時(shí)間非常重要。

　　如果你不想浪費(fèi)寶貴時(shí)間去尋找法務(wù)的電話號(hào)碼或者IT供應(yīng)商的聯(lián)系人信息，一個(gè)記錄在案的應(yīng)對(duì)能減少這方面的壓力，至少可以在各種危機(jī)情況發(fā)生時(shí)做到有章可循;同時(shí)在應(yīng)對(duì)中保持靈活性，來處理獨(dú)特的情況?？傊?，既然不能為每種情況都做準(zhǔn)備。那就為最有可能的情況做準(zhǔn)備，用文檔統(tǒng)一記錄所有相關(guān)信息，例如聯(lián)系信息，以便查詢使用。

　　一家公司的危機(jī)處理團(tuán)隊(duì)該由哪些人組成?

　　很多公司都苦于這個(gè)問題的答案。危機(jī)處理團(tuán)隊(duì)?wèi)?yīng)該是一個(gè)人還是兩個(gè)人?應(yīng)該是大的委員會(huì)構(gòu)架嗎?——根據(jù)公司大小、基礎(chǔ)設(shè)施、安排和供應(yīng)商關(guān)系，這個(gè)答案都會(huì)有所不同。有的投資公司內(nèi)有專門的IT員工，有的則外包大部分IT，無法一概而論。

　　至少，組成危機(jī)應(yīng)對(duì)團(tuán)隊(duì)的人都應(yīng)該是關(guān)鍵的決策者。他們應(yīng)該能獲取必要的信息，以做出應(yīng)對(duì)決策;同時(shí)可以授權(quán)做這些決定。例如，至少讓CEO，最有可能是CCO(首席合規(guī)官)，負(fù)責(zé)運(yùn)營的人(如COO)，以及技術(shù)職位的人(CTO或CSO)加入，讓團(tuán)隊(duì)里首席層面的管理者來啟動(dòng)這個(gè)過程。有人需要得到授權(quán)來啟動(dòng)事件的應(yīng)對(duì)流程，讓團(tuán)隊(duì)成員在各自領(lǐng)域進(jìn)一步采取措施，需要時(shí)還可讓其他利益相關(guān)方加入。

　　事件應(yīng)對(duì)團(tuán)隊(duì)成功的關(guān)鍵是團(tuán)隊(duì)的延展性。公司對(duì)團(tuán)隊(duì)組成猶豫不決的原因之一是，希望能夠預(yù)測(cè)到每種類型的事件。提前決定在每種可能情況下誰可能需要作出決策是很困難的。相反，設(shè)計(jì)應(yīng)對(duì)計(jì)劃時(shí)預(yù)留好將來引入更多資源的可能性即可。

　　在事件應(yīng)對(duì)計(jì)劃中常見的例子是：有核心的事件應(yīng)對(duì)團(tuán)隊(duì)，需要時(shí)引入公司的首席法律顧問或外部法務(wù)，以及公司的系統(tǒng)管理員或某個(gè)IT供應(yīng)商，他們會(huì)協(xié)助調(diào)查泄露事件。

　　除了公司常用的供應(yīng)商，還該包括哪些第三方?

　　聘請(qǐng)一個(gè)長期穩(wěn)定的專業(yè)法律顧問，在隱私泄露和泄露應(yīng)對(duì)方面有特定的專業(yè)技能。事件發(fā)生時(shí)可能第一個(gè)電話就是打給律師，以保護(hù)在適當(dāng)權(quán)限下的進(jìn)一步溝通和討論。

　　還有，我建議聘請(qǐng)一家刑事調(diào)查公司，協(xié)助檢查網(wǎng)絡(luò)上的文件，還原發(fā)生事件，以及哪些文件被黑客獲取。

　　一般來說，這些供應(yīng)商希望提前做好溝通，這樣可以有時(shí)間熟悉公司的系統(tǒng)和網(wǎng)絡(luò)，而不是當(dāng)火燒眉毛的時(shí)候才去找他們——那樣的話肯定費(fèi)用不菲，畢竟人家要放下手頭的一切工作，趕到你的公司檢查系統(tǒng)。所以，提前談妥還能節(jié)省預(yù)算。

　　較好有家公關(guān)公司，至少要在心里物色好，來幫助草擬任何面向公眾的信息，不論是針對(duì)客戶、監(jiān)管者或者股東的?？傊?，針對(duì)事件的對(duì)外溝通傳播一定要妥當(dāng)，否則將面臨失去很多客戶的風(fēng)險(xiǎn)。

　　此外，要有當(dāng)?shù)睾吐?lián)邦執(zhí)法人員和部門以及區(qū)域機(jī)構(gòu)的聯(lián)系信息。如果是一次重大事件，或者涉及大規(guī)模黑客侵入企圖，就可以在時(shí)機(jī)適當(dāng)?shù)臅r(shí)候借助執(zhí)法力量。

　　在“硝煙彌漫”的時(shí)刻，如何確定應(yīng)對(duì)優(yōu)先級(jí)?

　　在網(wǎng)絡(luò)安全事件中，多數(shù)壓力來自組織內(nèi)部和公司廣大利益相關(guān)方相互競(jìng)爭的優(yōu)先事項(xiàng)。我之前提到過，CEO可能想讓系統(tǒng)運(yùn)行，而CTO會(huì)說，“不行，我們得把一切都關(guān)掉，防止惡意軟件或勒索軟件傳播，這樣才能防止數(shù)據(jù)進(jìn)一步被竊取。”

　　談到優(yōu)先級(jí)，建議公司通盤考慮所有業(yè)務(wù)和監(jiān)管風(fēng)險(xiǎn)。比如，響應(yīng)行為超過某個(gè)時(shí)間范圍是否會(huì)面臨財(cái)務(wù)懲罰?

　　總體來說，每個(gè)人都要關(guān)注普遍的合規(guī)風(fēng)險(xiǎn)。例如，除了證券交易委員會(huì)，是否有其他法律上的要求?聯(lián)邦調(diào)查局會(huì)要求采取某些措施嗎?法務(wù)呢?如果公司有網(wǎng)絡(luò)保險(xiǎn)，保險(xiǎn)公司會(huì)要求采取某些措施，不然就不予理賠?這些是要優(yōu)先考慮的事項(xiàng)。

　　如果我要優(yōu)先考慮一個(gè)或兩個(gè)行動(dòng)，那么第一個(gè)電話應(yīng)該打給法務(wù)，第二個(gè)電話打給網(wǎng)絡(luò)安全保險(xiǎn)公司。至少讓他們掌握動(dòng)態(tài)，告訴他們你當(dāng)時(shí)了解的信息。

　　盡量多、盡量快地識(shí)別出需要溝通的信息，至少要能告訴法務(wù)和保險(xiǎn)公司，泄露是如何發(fā)現(xiàn)的、哪些信息可能被竊取、以及公司是如何注意到的。哪怕 沒有掌握所有事實(shí)，提前溝通也很重要。

　　能模擬預(yù)演這些網(wǎng)絡(luò)危機(jī)應(yīng)對(duì)預(yù)案嗎?

　　網(wǎng)絡(luò)危機(jī)應(yīng)對(duì)預(yù)案如果沒有經(jīng)過演練，往往是紙上談兵。雖然我們不能預(yù)測(cè)所有發(fā)生的情況，但是，你是否對(duì)所有可能的情況做過預(yù)想?

　　檢測(cè)危機(jī)應(yīng)對(duì)計(jì)劃一個(gè)簡單易行的方法，是在員工中進(jìn)行釣魚測(cè)試。這些測(cè)試能加強(qiáng)防御，提高員工的安全意識(shí)，防止相關(guān)問題發(fā)生。釣魚測(cè)試也能幫助公司體驗(yàn)一個(gè)可能發(fā)生的勒索軟件侵入系統(tǒng)的過程。其中首先考慮的一步應(yīng)該是：斷開系統(tǒng)了嗎?讓IT部門來實(shí)時(shí)調(diào)查發(fā)生了什么嗎?何時(shí)開始與客戶溝通的?

　　預(yù)演時(shí)你應(yīng)該想到很多可能的突發(fā)狀況。比如，在實(shí)施應(yīng)對(duì)預(yù)案時(shí)，有客戶打電話質(zhì)問為何無法在線登錄賬戶。當(dāng)客戶在電話里要求馬上回應(yīng)，而市場(chǎng)部尚未準(zhǔn)備好公開回應(yīng)的內(nèi)容，這種情況下怎么辦?類似這些問題都要提前集思廣益。

　　演練危機(jī)應(yīng)對(duì)預(yù)案的一個(gè)很好的方式是讓公司不同部門和各方人員都參與進(jìn)來，讓大家都有所體會(huì)。我一直強(qiáng)調(diào)，危機(jī)應(yīng)對(duì)是每個(gè)人的責(zé)任。這不僅是IT或高管才會(huì)面臨的情況，每個(gè)雇員都可能處在發(fā)現(xiàn)并幫助阻止信息泄露的崗位上。

　　最近發(fā)生的網(wǎng)絡(luò)攻擊有怎樣的前車之鑒?

　　最近數(shù)起網(wǎng)絡(luò)攻擊已經(jīng)凸顯了供應(yīng)商要更加盡職的必要性。我們從Target超市和其他公司所遭受的黑客攻擊中發(fā)現(xiàn)，企業(yè)和第三方供應(yīng)商之間的互相關(guān)聯(lián)有可能會(huì)帶來難以預(yù)料的影響。

　　如果有人入侵了供應(yīng)商的系統(tǒng)，這對(duì)其他利益相關(guān)者有影響嗎?如果投資公司的第三方供應(yīng)商遭到黑客入侵，或被用為跳板攻擊其他各方，會(huì)構(gòu)成風(fēng)險(xiǎn)嗎?

　　故話重提，作為第三方的小公司有時(shí)覺得他們不是目標(biāo)，但是小公司可能被黑客入侵，黑客會(huì)使用他們的系統(tǒng)攻擊其他公司，以掩蓋攻擊來源或者做到不被發(fā)現(xiàn)。公開的泄露事件已經(jīng)顯示出：供應(yīng)商可以構(gòu)成威脅。

　　這也表明公司的公關(guān)計(jì)劃要到位，這一點(diǎn)十分重要。以錯(cuò)誤的方式發(fā)出信息會(huì)對(duì)業(yè)務(wù)的持續(xù)生存造成嚴(yán)重后果。

　　攻擊事件發(fā)生后應(yīng)該如何向外界溝通?

　　溝通口徑要一致。在發(fā)出公開聲明之前，內(nèi)部協(xié)調(diào)統(tǒng)一所有信息。

　　描述事件的措辭要非常嚴(yán)謹(jǐn)。除非真實(shí)存在泄露的情況，否則不要輕易使用泄露這個(gè)詞。美國各州的規(guī)定已經(jīng)定義了什么情況下構(gòu)成一個(gè)應(yīng)當(dāng)做出匯報(bào)的泄露事件。一旦定性為“泄露”，這意味著具有法律意義上的決定。公司必須慎之又慎。在如何措辭表述網(wǎng)絡(luò)攻擊事件的性質(zhì)時(shí)，要在信息和溝通上非常謹(jǐn)慎。

　　很多情況下，公司會(huì)將其描述為一次事故、事件或被發(fā)現(xiàn)的黑客行動(dòng)。一旦你使用泄露這個(gè)詞，就會(huì)涉及到通報(bào)問題。

　　對(duì)公司的寄語?

　　公司的危機(jī)應(yīng)對(duì)計(jì)劃要不停地修訂。黑客很有可能已經(jīng)在公司網(wǎng)絡(luò)上伺機(jī)而動(dòng)。要居安思危，沒有安全事件發(fā)生的時(shí)期越長，在突發(fā)危機(jī)時(shí)公司越有可能措手不及。

金程CFA速贏強(qiáng)化套餐班

　　短時(shí)高效，精準(zhǔn)突破，CFA持證必備

CFA強(qiáng)化班詳情在線咨詢

完善下表，48小時(shí)內(nèi)查收CFA備考資料
（如果沒收到資料，可以點(diǎn)我咨詢）

相關(guān)推薦：注冊(cè)金融分析師 CFA是什么意思 CFA報(bào)名時(shí)間 CFA是什么

一次通過CFA! 9群 572165746。CFA資料&資訊隨時(shí)分享，與眾多CFA持證人交流考試經(jīng)驗(yàn)。

返回首頁