NICOLE PERLROTH,纽约时报中文网
Steve Ruark for The New York Times
美国系统网络安全协会的艾伦·帕勒说,目前受到黑客攻击的公司,在跟风披露遭袭事件。
旧金山——过去几年里,黑客攻击了数以千计的美国企业,然而只有少数几家公开承认受到了攻击。大多数企业把在线攻击作为一个不可告人的秘密来对待,最好瞒住客户、股东和竞争对手,担心披露遭袭事件会让公司股价下跌,并背上倒霉的名声。
很少有哪家公司会打破沉默,受到袭击的事件往往会由别人透露出来。然而,在过去的几周里,已经有更多的公司主动站了出来。Twitter、Facebook和苹果(Apple)都已宣布,他们受到了手段老练的网络犯罪分子的攻击。《纽约时报》上个月在头版刊登文章,披露了公司受到黑客攻击的经历。
这些公司的主动披露,反映了一些公司开始用新的态度衡量公之于众的风险和收益。虽然企业一度害怕股东因此提出法律诉讼,也担心会惹恼中国政府,但其 中一些不可避免地注意到,那些披露真相的公司因为其勇敢而受到了称赞,比如谷歌(Google)。一些公司担心,无法抵挡也许还在上高中的黑客们的攻击, 会让公司蒙羞。
不过,随着公布黑客攻击变得更加普遍,使自己显得愚蠢的风险也就降低了,有更多的公司抓住时机跟风公布了消息。
“现在有一种‘隐藏在噪音中’的效应,”非营利的在线研究和教育组织美国系统网络安全协会(SANS Institute)的研究主管艾伦·帕勒(Alan Paller)说。“这是一个特别好的时机,可以公开你受到黑客攻击的事实,因为如果你只是众多公司中的一个,公布这样的消息就不会那么显眼。”
2010年,谷歌曾警告一些Gmail用户(主要是政治活动人士),中国黑客似乎在设法读取他们的电子邮件。当时这样的披露还相当罕见。谷歌在公告 中说,同一组织针对的公司总数超过30家,谷歌只是其中之一。谷歌说,它发布公告的部分目的是为了鼓励其他公司也公开谈论这个问题。
然而在这些公司中,只有英特尔(Intel)和奥多比系统(Adobe Systems)不情愿地站了出来,但是都没有提供太多的细节。
本月,Twitter承认受到了黑客攻击,Facebook和苹果两周后也承认受到攻击。《纽约时报》发表文章之后几个小时内,《华尔街日报》 (The Wall Street Journal)也跟着发表了一篇报道,披露该报也受到了攻击,该报认为攻击是中国黑客所为。《华盛顿邮报》(Washington Post)也紧随其后。
不是每个公司都利用了这次掩护。例如,彭博资讯(Bloomberg L.P.)再三否认其系统遭到了中国黑客的侵入,尽管有若干消息来源证实,该公司的电脑感染了恶意软件。
电脑安全专家估计,有超过1000家公司最近受到了攻击。2011年,迈克菲(McAfee)的安全研究人员发现了被称为“暗鼠行动”(Operation Shady Rat)的大规模在线间谍活动,他们发现,在五年时间里有70多家组织受到了攻击,其中许多位于美国。
德米特里·阿尔珀洛维奇(Dmitri Alperovitch)当时是迈克菲负责研究安全威胁的副总裁,他说,“我相信,你能想到的任何行业里,任何一家有规模、有宝贵的知识产权和商业秘密的 公司,都已被侵入,或者很快会被侵入。绝大多数的受害者极少能发现已被侵入,也极少能发现侵入造成的影响。”
阿尔珀洛维奇现在是一家初创安全公司Crowdstrike的首席技术官,他说,“事实上,我将所有的财富世界2000强企业分成两类:那些知道他们已经被侵入的公司,和那些还不知道的。”
在这些公司里,还是没有几个会承认的。大部分曾一度出现在有关网络攻击的新闻报道中的公司和机构,都会拒绝确认攻击的发生,其中包括国际奥委会 (International Olympic Committee)、埃克森美孚公司(Exxon Mobil)、贝克休斯公司(Baker Hughes)、荷兰皇家壳牌公司(Royal Dutch Shell)、BP、康菲石油公司(ConocoPhillips)、切萨皮克能源(Chesapeake Energy)、英国能源巨头英国天然气集团(BG Group)、钢铁制造商安赛乐米塔尔(ArcelorMittal),以及可口可乐公司(Coca-Cola)。
一些公司也已经和谷歌一样采取了行动,以期在各自的行业里努力提高意识、加强安全,但常常收效甚微。2009年,一家大型的支付处理公司哈特兰支付 系统公司(Heartland Payment Systems)披露,它的系统遭受了一次重大的数据库入侵,可能已导致数百万信用卡、借记卡客户面临遭受诈骗的风险。这一举动十分罕见,是该公司不顾律 师的意见发布的。
哈特兰公司当时的首席信息官史蒂夫·埃莱凡特(Steve Elefant)说,“在那以前,大部分人都会竭力对入侵事件守口如瓶。我们希望确保这样的事情不会再次发生在我们身上,也不想在坏人试图将我们逐个攻破时,坐视它发生。”
哈特兰帮助建立了支付处理服务信息共享委员会(Payments Processors Information Sharing Council),分享行业内的安全威胁和入侵信息。
但此举没有让行业内的其他企业不再对各自的遭袭事件守口如瓶。去年,一家大型支付处理企业环汇公司(Global Payments)没有透露它曾遭受过两次重大的入侵,可能会影响数以百万计的账户,直到一位关注安全问题的知名博客作者报道了此事。即使到那时,它也没 有提供任何可以帮助其他公司增强系统安全性的细节。
上周,奥巴马总统签署了一份指令,鼓励政府和私人企业之间,增强网络威胁方面的信息共享。但是该指令属自愿执行,比较去年一份在国会搁浅的在线安全 法案,它的力度要弱。一家游说团体美国商会(Chamber of Commerce)提议阻止此项法案的通过,理由是这些规定难以执行。美国商会本身也曾遭到过黑客攻击。
周三在华盛顿,数位高级政府官员提出了一个新的战略来保护美国的知识产权,他们敦促公司在被攻击时主动报告。
2011年10月,美国证券交易委员会(Securities and Exchange Commission)发布了一部新的指导规范,其中明确提出了,上市公司应如何披露在线攻击,但是还没有几家公司因此而披露过此类事件。
雅各布·奥尔科特(Jacob Olcott)是一位在线风险专家,曾负责过参议院对披露行为的一项调查。他说,“实话说,从那时起,并没有出现大量的对网络安全事件的报告,尽管事实上这类事件显然在发生。”
奥尔科特说,最大的希望是,随着投资者开始更多关注此种威胁,他们会要求公司进行披露。埃莱凡特说,“我不指望这能很快发生。有一大批的律师会努力阻止公司透露入侵正在发生的事实,尽管入侵的确在发生。”
David Sanger自华盛顿对本文有报道贡献。翻译:曹莉、张薇
没有评论:
发表评论