Crook在10年前曾担任花旗公司(现在是花旗集团,花旗银行的母公司)的首席技术官。当时,一名黑客入侵了花旗公司的网络。
Crook现在是宾夕法尼亚大学“Wharton Fellows”机构的高级顾问、纽约科学院的成员、皇家工程学院的研究员和《The Power of Impossible Thinking》一书的共同作者。上个星期,他在ID管理公司Courion举行的“Converge 05”会议上谈了他自己的经验。他强调说,企业官员必须善于倾听其他人的意见,理解安全是人的问题,而不是机器的问题。
在分为两部分的问答形式的文章的第一篇文章中,Crook解释了公司如何在数据盗窃事件中幸存下来。
问:10年前花旗公司发生了什么事情?
答:有人入侵了缓存管理系统。这是一个数百万美元的赌注,对我们所有的人都是一个巨大的打击。我们知道攻击来自于东欧,但是,我们不知道攻击者是一个不熟练的黑客还是政府机构。我真的担心这种攻击是来自前苏联的克格勃。
问:当发现安全攻击之后你采取了什么步骤?
答:我们叫来了联邦调查局的人。Tsutomo Shimamura到公司来,给了我们很好的帮助。他是一个白帽(正义的黑客)。他曾帮助联邦政府逮捕了黑客Kevin Mitnick(Kevin Mitnick曾因黑客犯罪被监禁五年,后来成了一名成功的安全顾问、作者和演说家)。Mitnick 曾入侵Tsutomo的计算机,并且留下信息说“我已经攻击了你的计算机”。Tsutomo发现了Mitnick的信号,并且进行了追踪,协助联邦政府逮捕了Mitnick。
这里还有一个有趣的事情。Tsutomo来帮助我们确认发生了什么事情。我们的接待人员却想把他赶走。Tsutomo穿了一件蓝色的缎子短裤、一个画满了数学等式的体恤衫、一个头盔和一双旱冰鞋。接待人员挥手要赶他走,说:‘我们不接受送来的东西“。接待人员以为他是一个送货童!最后,他帮助我们搞清楚了这个入侵者是一个不熟练的黑客,而不是政府机构。
问:这件事情的最大教训是什么?
答:如果不重视安全问题,就会发生这种事情。我们没有安全的外围。到处都有调制解调器。我们公司有1亿个客户和30万名雇员,这些人中间就可能存在攻击者。这非常可怕。这个教训就是:安全是商务和经济问题。不要把安全仅当作安全问题来说。
缓存管理系统一被攻破,我们对业务人员说的话就是:不要认为这是一个安全问题。要把这个问题当作是业务问题。安全是最复杂的问题之一,业务中的每一件事情都渗透着安全。
问:你在“Converge05”会议上的讲话中提到了过于严格的安全系统的危险。你能不能展开说一下?
答:所有的机构都在变化和适应。企业很少有静止不动的。在花旗银行,每一个雇员一年都要调动两次工作。因此,当你有一个不适用于这种变动的静态的和严格的系统时,肯定要失败。使用高科技系统并且采取不变通的限制,有人就会发现攻击系统的方法。
问:当花旗银行最近承认有390万客户的信息丢失的时候,人们肯定会回忆起你10年前的经历。你认为在这种情况下是公司处理问题不当,还是公司正在尽最大的努力?
答:我认为,当这个事情发生时,你必须要做出反应。你不能退缩,什么也不做,什么也不说。由于所有这些担心都是有关身份证盗窃的事件,但是急于求成并不好。对于这种问题应该采取更深入的和深思熟虑的方法。这种情况下需要后退一步,看看不同的思路。如果急于求成,立法人员认为他们必须要立法。这就产生了一种认识,以为企业不能自己处理这个问题。匆忙进行的判断常常导致不完善的解决方案。
问:企业是不是有这样一种气氛,当安全攻击事件发生时,企业不会坦率地说明这个问题?
答:企业最大的问题是,当问题成为很重要的问题之前,是不被重视的。当你的应急工作没有解决安全问题的时候,安全仍是一个艰巨的工作。
问:企业如何做才能解决这个问题?
答:当你过于依赖经验的时候,就会停止学习,因此,你要能够从不同的角度观察事情。当我们第一次让一群CEO坐在一个房间里的时候,这是一个灾难。每个人都认为自己什么都知道。这就是当你成熟之后发生的事情:你对事情的判别能力减弱了,你失去了执行的能力。我们告诉人们,他们必须要后退一步,承认他们自己的局限性。同时,你必须依靠自己的经验。经验是有价值的,你不能像改变某些事情一样改变你的经验。你要把经验与新的思想结合起来。
信赖是关键。企业必须了解识别人们身份的重要性。在旅店逗留期间。我走进房间,清扫房间的女服务员正在房间里。她停下工作,让我把钥匙卡放到锁里面。她要确认我是不是这个房间的客人。这给我留下了很深的印象。企业要以她为榜样。