事业不认真对待网络安全,说迪托哈丁
叙述2015年10月22日关于Talktalk对Talktalk的网络攻击,前首席执行官Dido Harding表示,她在午餐时间附近,她收到了每首CEO恐惧的电子邮件。
“这是一个匿名的电子邮件,给我发表了一个匿名的电子邮件,声称来自黑客与数据的链接,很清楚,很快就是可信的,”她告诉安全创新网络(SINET)全球网络安全创新峰会。
她说,Talktalk仍在蓬勃发展的原因是,在接下来的24小时内,商业选择完全打开正在发生的事情,这是一些公司所做的事情。
Talktalk知道它已被攻击,攻击者已访问客户数据,可能包括银行账户详情和信用卡详细信息,可能的所有客户。
“我们也知道它会带我们一段时间才能完成何种数据被盗的数据,我们的判断是我们的责任是尽可能地照顾我们的客户,”哈丁说。
“我们的判断是保护客户的最佳方式是告诉他们他们的数据被盗,”她说。“我们的客户面临着最大的风险是,我们的客户面临的是他们会被骗。我们认为,如果我们警告他们,我们可以保护我们的客户。“
与英国的其他所有公司不同,Harding说Talktalk选择完全开放,诚实地攻击并使用媒体警告客户,他们的银行账户详情可能被盗。
“与之来说,歇斯底里和恐慌,我们所学到的,我们所学到的不是一个好主意,而且还出现了什么是我们的客户认为我们做了正确的事情。我们的客户认为我们做得很好。在真正困难的时候,我们试图在历史上的其他企业历史上看时照顾他们,“她说。
因此,Harding表示Talktalk的品牌声誉18个月后比在攻击前更强大,令人越少的客户留下TalkTalk,而且业务在许多方面比以前更好,因为它的学习是什么。
“发生了,我们没有像我们想象的那样被盗的数据。最终,虽然我们警告了400万,但有157,000名客户的银行账户细节被盗。但在这样做,我们所有的客户都认为我们在保护它们方面做了正确的事情。“
所吸取的最大的经验教训,哈丁,即使她已经与GCHQ亲自曾经撰写过这个网络的网络防御计划,其他人并没有认真对待网络安全并审查了该公司的网络防范计划。
“我们以为我们正在认真对待,但当然我们没有认真对待它,没有人是。很多商业领袖害怕它,并希望将其委派,“她说。
“大多数首席执行官和大多数板都倾向于问,”我们安全?'。这是错误的问题,但最经常问过他们的CTO或Cisos的首席执行官。
“这是一个非常容易回答的问题。不,无论你是谁,你都不安全。除非你选择不在数字世界中运作,否则你正在冒险,“她说。
商界领袖希望对网络安全的责任进行责任,但他们不能,我了解到,在战斗中的热情困难当Talktalk董事会的某人问这个问题违约后四个月,Harding表示,CTO回答说,公司从未完全安全。
“他说,”我会告诉你的是我们所采取的风险,我们正在做些什么来减轻他们以及我们愿意接受的风险是什么,以便继续交易'。
“商业领袖希望对网络安全的责任进行责任,但他们不能,我知道在战斗中,”她说。
Harding表示,她还了解到,非技术人员可以了解“这种东西”,该工程师可以说英语。“有时你需要强烈推动它们,但他们可以。我们在商业和政府中有文化更改的最重要的事情是鼓励两个部落彼此交谈。“
她担任首席执行官的最艰难的决定说,Harding,在何时足够安全的时候决定了谈判的系统再次备份并允许客户使用其在线系统。
“事实证明,我们是一些青少年的勒索袭击的受害者,但我们当时不知道。一旦我们拥有所有宣传,我们都是真正糟糕的家伙的完美攻击目标,所以决定何时让我们的系统备份是最困难的决定,“她说。
首席执行官对风险表示艰难是重要的,因为有一个倾翻点,网络风险小于没有再次转回系统的风险,这是一个商业决策。
“我需要我的技术团队用英语向我解释风险是什么,所以我可以决定在我们将系统再次备份之前愿意采取多少业务风险。对于Talktalk,这使得我们作为公司的技术谈话的质量转变为“,”她说。
Cyber攻击说,Harding,已经改变了TalkTalk开发其产品的方式,并“大规模改进”技术专家与面向客户的团队之间的一体化,因为他们了解如何以他们之前没有的方式互相交谈。
另一大学学习说,哈丁,就是让基本的权利真的很难。“我不喜欢网络卫生术语,因为它意味着那些没有卫生权利的人是愚蠢的,但它只是难以做到,”她说。
然而,Harding只是专注于那些基础知识,许多公司(包括Talktalk)都可以防止网络攻击。
“我们犯了不了解我们的网络足迹。我们在不再被使用的网站上遭到袭击,我们在10年前购买的公司没有使用,并且没有被任何尽职尽责的人挑选。
“现在你可以争辩说我们应该找到它,但我们没有。在超过10年前发展的那个网站上,有一个SQL注射漏洞,如果你知道它存在,这很明显 - 但我们没有,“她说。
对于组织了解他们的网络非常重要的是,努力表示,补充说,组织越大,系统越大,以及已经完成的更多收购,这更难以做到。
由于违规行为,难以说谈话的风险概况发生了巨大的变化。“Talktalk不能拥有另一个网络攻击,因此公司已经完成了巨额培训,教育,测试和假的网络钓鱼诈骗。”
在2017年5月的第二周离开公司的HARDING表示,她现在就鼓励董事会成员询问有关风险的正确题目的“非常热情”。
“要问的最重要的问题之一是您的人民最脆弱的问题。大多数情况下,这是现在商业领袖期待的地方,“她说。
“高管的个人助理,实际上是最脆弱的接入点之一,而且很少有组织将它们识别为安全风险。在电信网络中,它不是首席技术官,而是幸福地发布的网络工程师在LinkedIn他们所做的事情上,“她说。
哈丁虽然有一些“惊人的技术”,可以让商业领导者的工作更容易让他们的企业更安全,但信息安全专业人员揭开“数字”和“网络”的“非常重要的”教育角色。
如果你做正确的是你的客户,它将努力努力“危险是,业务的领导者对勾选票箱审计检查,并且未能意识到[网络安全]是每个组织的单一最重要的事情之一,每个组织必须做的更多,”她说。
HARDING表示,通过决定开放和诚实,该公司正在做正确的事情是“赋权”。
“我们在在线提供客户的时候,我们忍受了一个月,我们丢失了很多客户,而且它花费了大量的钱 - 总计约为80米 - 但它没有破产公司,它就在公司中教会了每个人那是,如果你对你的客户做正确的事情,它就会解决问题。这对我们所有人来说都是一个生命肯定的经历,“她说。
