我們知道的還是太少了:90%的網路事件不會公開
無論是出於法律風險、聲譽損害還是業務連續性考慮,報告網路事件的情況都很少出現,合法追索網路事件的情況就更少了。
英國每年有超過 120萬 起網路事件,上報政府的事件中 90% 都沒走到法庭這一步。公司企業不向政府報告自己遭到攻擊的原因有很多,但很多原因都是基於錯誤的假設。
Computing雜誌11月21日舉行的企業與風險管理現場會上,國家犯罪局(NCA)威脅響應主管 Ben Russell 稱:有很多原因讓受害者不願意支援犯罪調查。
其中最主要的就是法律風險,比如資訊共享和資料隱私等。Russell稱,NCA與很多公司交涉過,但公司律師建議他們不要共享任何資訊。不過,Russell補充道:我還沒遇過哪起事件是不能合法地與我們共享資訊的。
共享資訊有風險的情況可能會有,公司企業也可能會選擇以僅提供情報的方式合作,也就是確保資訊不被牽涉進犯罪調查中。這些都可以和NCA協商解決。
另一個主要顧慮是聲譽損害,尤其是對提供公眾服務的企業而言。但往往正是這些公司的拖延才會導致更多的批評與聲譽損害,比如Uber幾乎拖延了一年才披露的2016黑客事件。合法公開披露通常都是在事件發生很久以後了,2015年TalkTalk黑客事件就花了2年才走上司法程式。
很多受害者還擔心業務連續性受損。他們不願意警方調查介入,不想警察四處插手他們的業務,停掉伺服器、拆掉各種裝置拿到警方實驗室什麼的。他們還有業務要做,公司還得賺錢。不過,這些公司企業的擔心都是庸人自擾,是錯誤的假設。
Russell表示,NCA的調查極少影響到業務運營,不會直接進場關停裝置,也不會拿走任何東西——NCA都沒地方放這些東西。
接下來就是適用於很多公司的監管框架。如果你必須向資訊專員報告,為什麼還要報告給沒有強制要求報告的另一個機構呢?持這種想法的人不在少數。
Russell強調,NCA不是監管機構,公司企業沒有義務與監管者共享任何資訊。他表示:他們沒義務執行業務監管職責。
最後,NCA最經常聽到的理由是“不知道為什麼”和“不清楚怎麼做”。“為什麼我要報告?對公司有什麼好處嗎?我該怎麼報告?”
這一點上,NCA的專業知識應成為向其報告網路事件的原因所在。
我們日復一日地做著犯罪調查工作,知道良好事件響應的樣式,清楚不良事件響應的特徵。我們的經驗在於資料洩露事件,越多人提供幫助和建議越好。