网络安全的目标并非合规

源济

上周三出席《华尔街日报》专业网络安全大会论坛活动的专家称，金融机构的网络安全措施若仅聚焦监管合规，则未必能很好地保护公司不受网络侵袭。

12月13日，纽约，CrowdStrike联合创始人兼首席执行长George Kurtz（左二）、巴克莱银行集团安全部门首席信息长Elena Kvochko（中）以及纽约联邦储备银行科技事业部副总裁兼首席信息安全长Joe Leonard出席《华尔街日报》专业网络安全大会论坛活动。 图片来源：BEN DIPIETRO/THE WALL STREET JOURNAL
BEN DIPIETRO
华尔街日报  2017年 12月 18日 12:03

上周三出席《华尔街日报》专业网络安全大会(WSJ Pro Cybersecurity Conference)论坛活动的专家称，金融机构的网络安全措施若仅聚焦监管合规，则未必能很好地保护公司不受网络侵袭。

纽约联邦储备银行(Federal Reserve Bank of New York)科技事业部副总裁兼首席信息安全长Joe Leonard称，合规与安全二者无法兼得。

网络安全公司CrowdStrike Inc.联合创始人兼首席执行长George Kurtz称，以之前信用卡信息遭入侵的情况为例，所有遭入侵的机构都遵守了支付卡行业数据安全标准(Payment Card Industry Data Security Standard)，但仍然未能幸免，而数据遭窃导致的信任损失则难以挽回。

巴克莱银行(Barclays Bank)集团安全部门首席信息长Elena Kvochko称，银行应该从更加全盘的视角来看待信息安全，在不同业务之间打破藩篱，这样一来，当发现组织中某一部分出现异常时，可以发现是否有其它反常情况发生。

她表示﹐因此才有必要在一家组织内部推动相关文化，并给予足够时间让变革生根，因为让流程的改变成为习惯通常需要三个月到一年时间。她表示﹐在改进安全计划时﹐需要把这个时间考虑在内。

这三位在论坛发言的小组专家强调的一个领域就是﹐检测到信息泄露之前﹐先要制定一项计划。以Equifax Inc. (EFX)遭黑客入侵事件为例﹐小组成员表示﹐在这起事件被公之于众时﹐该公司如果提前知道谁该说什么，就可能会达到更好的效果。Kurtz表示﹐如果事前就已经有了这样一个团队﹐那么只需照计划执行就好了。

Kurtz表示﹐金融机构降低攻击风险的一个办法就是提高黑客入侵网络、窃取信息、把到手信息带走然后从中谋利的成本。要做到这一点﹐可以对暗网进行监控﹐看看信息何时被挂出出售﹐然后关闭这些与供出售遭窃信用卡信息相关的账户。

他表示﹐这么做可以降低这些信息的价值﹐如果黑客知道公司正进行监控并将快速做出响应﹐他们试图窃取信息的可能性会降低。

此外，Kvochko称，公司需要将安全深植于各个方面。她称，举个例子，当一家银行推出一款新产品时，该行应确保从设计阶段到整个开发过程都充分考虑到安全问题。

她说，产品测试也是测试安全和产品适宜推出时间的时候，以确保员工和零售商接受该产品的安全性能培训。

Leonard称，赢得董事会和公司高层对网络安全的认可和资金支持的最佳方法是，在介绍网络安全问题的时候，将其与企业利益和收入挂钩。他说，不要兜售技术解决方案。他还说，最好是先谈保护企业流程和利润，然后回过头来说，如何做可减轻这一威胁。他说，最好不要说，有一项威胁需要我们花费数百万美元进行防范。