你將讀到關于網絡安全威脅的故事是真實的;考慮到尊重當事人的隱私,只有人名和地點做了改動。當這件事發生時,我30年職業生涯的輝煌部分都在處理大規模、復雜的全球運營和技術,并且認為我已經看到聽到太多,即便不是全部。
我當時在BigWorldBank擔任全球消費者集團的CIO已經兩周了。負責運營、技術健壯,以支持分布在54個國家的約20萬員工和1.5億客戶。行政上我負責大概25億的年度預算。在最初的兩周里,我竟然時而會感覺幾乎一切盡在我掌握。
不知是誰說過在一個新的執行角色里,你有100天的時間來找到你的腿并建立你自己。他顯然不是一名CIO。
電話
在我上任第二周周五下午晚些時候,電話突然響起。Sonali Kumar是Kafiristan旗艦店的經理,他打來電話詢問一個問題。我瞟了一眼手表,注意到是紐約時間下午5:45,意味著他那里是周六早上4:45。我有種不祥的預感——我的第一個100天就在此刻終結了。
“一個顧客打電話來告知他發現了我們在線銀行系統的一個安全漏洞。”Kumar說到。“他把自己用的技術錄制成了視頻,愿意把視頻移交給我們,希望能因為他的付出獲得一筆咨詢費用。我們該怎么辦?”
我當時就感到心臟急速跳動,喉嚨發干。這是一個網絡安全威脅。我忙問他是否見過該顧客或看過那個視頻。他表明還沒有。意外收獲的是,我抬起頭,正看到Fred Simon(中東業務區域的業務領導)路過我門口。我讓Sonali別掛電話,叫住Fred,并迅速解釋了下情況。他建議我命令Sonali在當地報警,并告知警察我們分行的安全性被破壞,然后轉身離開我的辦公室,正如他出現時一樣快。
我琢磨了會Sonali的建議,思考了另外兩個注意事項:首先,把顧客關進監獄不像是銀行提供的優質服務,尤其在Kafiristan這個司法系統還常用鞭刑的地方。其次,如果我們把這人抓起來,我們可能永遠也無法找到他在我們在線系統里發現的安全漏洞。我回到電話旁,指揮Sonali邀請該顧客會面,并通過友好的交談弄清他到底發現了什么。另外,我還闡明咨詢費(任何一種付款方式)不在討論范圍內。我們同意等Sonali與顧客談完再溝通。
擴大
每一個程序,任何網絡安全威脅都需要升級,于是我接著打電話給我的老板,公司CEO。我簡明扼要地向她闡述了這個情況,然后我們達成一致——我會整個周末都跟進Kafiristan的團隊,協調網絡安全和風險管理團隊,在周一早上向她報告最新進展。最后我祝她周末愉快。
然后,我協調開了一個會議,參會人員有我的CISO,全球風險管理領導和BigWorldBanking在線技術負責人。我簡要告訴他們我對網絡安全威脅知識的局限性,我們討論了當前已知的在線銀行問題(通常總會有一些)以確認是否有可能我們正在處理的是已知的漏洞。基于已知的事實,我們一致認為,目前沒有足夠的信息來得出任何結論。
15小時以后
我的電話在周六凌晨3點響起,對應Kafiristan的下午2點鐘。是Sonali來匯報最新的進展。距離網絡安全事故發生,已過去15小時。
Sonali先為吵醒我感到抱歉,然后告訴我他已經跟那位顧客溝通過,顧客同意進行私人會面,并當場揭示他發現的漏洞。沒有進一步提到咨詢費用。
我謝謝Sonali提供了最新進展,并要他在私人會面結果出來后給我打電話。我感到有點被激勵了,似乎情況正朝好的方向發展。我能得再睡一會了。
視頻
周六晚上10點(Kafiristan周日早上9點),Sonali打電話來告知我,他已經跟那位顧客會面了,也看了視頻,并且從顧客那得到了一份拷貝。謝天謝地,仍然沒有談論到咨詢費或者其他形式的酬勞。我表揚Sonali在處理這種情況時所表現出來的專業技巧,并讓他給我發一份拷貝。半小時后,我正抱著極大的興趣觀看該視頻。我看到的是一個相當典型的BigWorldBanking在線對話,一切都看起來很正常。
接著,我看到顧客完成交易后,沒有退出登錄,而是簡單地通過點擊右上角的“X”關閉在線銀行窗口(不是瀏覽器)。然后他打開瀏覽器歷史窗口,找到剛才他瀏覽的在線銀行會話的網址,當他點擊該網頁地址時,“好像施了魔法”,瀏覽器重新打開了他剛剛離開的頁面。
這就是那個顧客起初要求咨詢費的所謂漏洞嗎?為確保萬無一失,我打電話給Sonali以回顧和確認我對正在觀看的視頻的理解。我的理解是對的。那名顧客發現的并不是漏洞,而是瀏覽器的工作機制:關閉一個窗口,然后它消失,打開同一個的窗口,然后它出現了。
我給CISO,全球風險管理領導和BigWorldBanking在線技術負責人發了一份視頻拷貝,以征詢他們的檢查和評估。網絡安全威脅驚嚇、結束。
結果
周日早上跟我團隊的跟進電話中,我們再次確認沒有發生任何安全漏洞,因為沒有個人身份認證信息顯示出來。如果客戶沒有重新輸入他的密碼,就不會執行任何金融交易。如果窗口被關閉超過30秒,顧客的在線對話會自動超時。我謝謝我的團隊,并結束了通話。我決定放松并享受夏季美麗的一天的剩余時光。
第二天早上,按原定計劃,我面見老板,給她陳述了情況。我們都放下心來,尤其是我,沒有因為這個事情就把顧客關進監獄。相反,我們決定送他一個46英寸的平板電視作為禮物,以獎勵他的高度配合,以及他想幫助我們改進產品和服務的主動性。
處理這種潛在網絡威脅事故讓我吸取了幾個經驗教訓:當你需要作出重大決定時,尤其涉及到客戶和監獄時,一定要了解真實情況后再作出重大行動;當你覺得你已經見識過所有東西時,請三思。
京公網安備 11010502049343號