与网络安全威胁相逢：CIO要冷静头脑胜

你将读到关于网络安全威胁的故事是真实的；考虑到尊重当事人的隐私，只有人名和地点做了改动。当这件事发生时，我30年职业生涯的辉煌部分都在处理大规模、复杂的全球运营和技术，并且认为我已经看到听到太多，即便不是全部。

我当时在BigWorldBank担任全球消费者集团的CIO已经两周了。负责运营、技术健壮，以支持分布在54个国家的约20万员工和1.5亿客户。行政上我负责大概25亿的年度预算。在最初的两周里，我竟然时而会感觉几乎一切尽在我掌握。

不知是谁说过在一个新的执行角色里，你有100天的时间来找到你的腿并建立你自己。他显然不是一名CIO。

电话

在我上任第二周周五下午晚些时候，电话突然响起。Sonali Kumar是Kafiristan旗舰店的经理，他打来电话询问一个问题。我瞟了一眼手表，注意到是纽约时间下午5:45，意味着他那里是周六早上4:45。我有种不祥的预感——我的第一个100天就在此刻终结了。

“一个顾客打电话来告知他发现了我们在线银行系统的一个安全漏洞。”Kumar说到。“他把自己用的技术录制成了视频，愿意把视频移交给我们，希望能因为他的付出获得一笔咨询费用。我们该怎么办？”

我当时就感到心脏急速跳动，喉咙发干。这是一个网络安全威胁。我忙问他是否见过该顾客或看过那个视频。他表明还没有。意外收获的是，我抬起头，正看到Fred Simon（中东业务区域的业务领导）路过我门口。我让Sonali别挂电话，叫住Fred，并迅速解释了下情况。他建议我命令Sonali在当地报警，并告知警察我们分行的安全性被破坏，然后转身离开我的办公室，正如他出现时一样快。

我琢磨了会Sonali的建议，思考了另外两个注意事项：首先，把顾客关进监狱不像是银行提供的优质服务，尤其在Kafiristan这个司法系统还常用鞭刑的地方。其次，如果我们把这人抓起来，我们可能永远也无法找到他在我们在线系统里发现的安全漏洞。我回到电话旁，指挥Sonali邀请该顾客会面，并通过友好的交谈弄清他到底发现了什么。另外，我还阐明咨询费（任何一种付款方式）不在讨论范围内。我们同意等Sonali与顾客谈完再沟通。

扩大

每一个程序，任何网络安全威胁都需要升级，于是我接着打电话给我的老板，公司CEO。我简明扼要地向她阐述了这个情况，然后我们达成一致——我会整个周末都跟进Kafiristan的团队，协调网络安全和风险管理团队，在周一早上向她报告最新进展。最后我祝她周末愉快。

然后，我协调开了一个会议，参会人员有我的CISO，全球风险管理领导和BigWorldBanking在线技术负责人。我简要告诉他们我对网络安全威胁知识的局限性，我们讨论了当前已知的在线银行问题（通常总会有一些）以确认是否有可能我们正在处理的是已知的漏洞。基于已知的事实，我们一致认为，目前没有足够的信息来得出任何结论。

15小时以后

我的电话在周六凌晨3点响起，对应Kafiristan的下午2点钟。是Sonali来汇报最新的进展。距离网络安全事故发生，已过去15小时。

Sonali先为吵醒我感到抱歉，然后告诉我他已经跟那位顾客沟通过，顾客同意进行私人会面，并当场揭示他发现的漏洞。没有进一步提到咨询费用。

我谢谢Sonali提供了最新进展，并要他在私人会面结果出来后给我打电话。我感到有点被激励了，似乎情况正朝好的方向发展。我能得再睡一会了。

视频

周六晚上10点（Kafiristan周日早上9点），Sonali打电话来告知我，他已经跟那位顾客会面了，也看了视频，并且从顾客那得到了一份拷贝。谢天谢地，仍然没有谈论到咨询费或者其他形式的酬劳。我表扬Sonali在处理这种情况时所表现出来的专业技巧，并让他给我发一份拷贝。半小时后，我正抱着极大的兴趣观看该视频。我看到的是一个相当典型的BigWorldBanking在线对话，一切都看起来很正常。

接着，我看到顾客完成交易后，没有退出登录，而是简单地通过点击右上角的“X”关闭在线银行窗口（不是浏览器）。然后他打开浏览器历史窗口，找到刚才他浏览的在线银行会话的网址，当他点击该网页地址时，“好像施了魔法”，浏览器重新打开了他刚刚离开的页面。

这就是那个顾客起初要求咨询费的所谓漏洞吗？为确保万无一失，我打电话给Sonali以回顾和确认我对正在观看的视频的理解。我的理解是对的。那名顾客发现的并不是漏洞，而是浏览器的工作机制：关闭一个窗口，然后它消失，打开同一个的窗口，然后它出现了。

我给CISO，全球风险管理领导和BigWorldBanking在线技术负责人发了一份视频拷贝，以征询他们的检查和评估。网络安全威胁惊吓、结束。

结果

周日早上跟我团队的跟进电话中，我们再次确认没有发生任何安全漏洞，因为没有个人身份认证信息显示出来。如果客户没有重新输入他的密码，就不会执行任何金融交易。如果窗口被关闭超过30秒，顾客的在线对话会自动超时。我谢谢我的团队，并结束了通话。我决定放松并享受夏季美丽的一天的剩余时光。

第二天早上，按原定计划，我面见老板，给她陈述了情况。我们都放下心来，尤其是我，没有因为这个事情就把顾客关进监狱。相反，我们决定送他一个46英寸的平板电视作为礼物，以奖励他的高度配合，以及他想帮助我们改进产品和服务的主动性。

处理这种潜在网络威胁事故让我吸取了几个经验教训：当你需要作出重大决定时，尤其涉及到客户和监狱时，一定要了解真实情况后再作出重大行动；当你觉得你已经见识过所有东西时，请三思。