今年OPSWAT 其中一家第三方通訊供應商的通知,指其端發生了一起安全事件,該事件可能導致與我們租戶相關的有限商業聯絡資訊外洩。該通知直接來自該供應商,隨後雙方團隊展開了積極協調。
在我們接獲通知OPSWAT 內部並無惡意活動的跡象,亦無證據顯示我們的租戶資料遭到外洩,且當時並無持續存在的威脅。儘管如此,我們仍以應有的嚴肅態度處理此事。
身為資訊安全長(CISO),這類事件再次印證了幾個現實:這些問題在理論上容易討論,但在實踐中卻難以應對。
首先,第三方風險已不再是次要考量。現代企業之間存在著緊密的相互連結。身分識別平台、SaaS 整合以及客戶互動系統雖能創造實質的商業價值,但當您無法直接掌控的外部環節發生問題時,這些系統也會擴大受影響的範圍。即使貴組織自身的資安防禦態勢穩固,其影響仍可能波及貴組織。
其次,公司內部透明度的重要性與疫情控制同樣關鍵。一旦我們釐清了事件的範圍與影響,便決定直接向員工說明。我們雖未將此視為迫在眉睫的威脅,但深知人們在掌握資訊時能做出更明智的決策。與其透過沉默製造不確定性,我們選擇透過溝通來建立信任。
第三,應對品質取決於事前準備,而非驚慌失措。正因我們早已建立好職責分工、升級處理流程及證據處理程序,安全、IT 及企業應用程式團隊才能迅速採取行動。我們妥善保存了日誌,審查了存取路徑,並運用威脅情報來偵測次級風險。這套紀律體系是在事件發生前就已建立,正是因為我們深知:若未經事前鋪墊,紀律絕不會在事件發生時憑空出現。
最後,此類事件發生後,往往會伴隨釣魚攻擊或社會工程學攻擊。即使系統本身保持安全,人們仍可能成為攻擊目標。提高警覺、核實意外請求,以及通報可疑活動,仍是我們最有效的防禦手段之一。
我提出這個觀點,是為了強調一個更廣泛的原則,而非著重於某個供應商的特定事件。網路安全不僅僅是防止資料外洩;它還涉及組織如何應對影響其環境的事件、溝通的清晰度,以及持續鞏固利害關係人間的信任。
在OPSWAT我們將持續將資安視為營運責任,而非背景性的支援功能。這意味著我們會對自身及合作夥伴提出高標準要求,在關鍵時刻保持開放溝通,並堅守這樣的現實:韌性是透過準備與人力來建立的,而非追求完美。
- Mike Barker
OPSWAT資訊安全長暨營運長
