Crook在10年前曾擔(dān)任花旗公司(現(xiàn)在是花旗集團(tuán)，花旗銀行的母公司)的首席技術(shù)官。當(dāng)時(shí)，一名黑客入侵了花旗公司的網(wǎng)絡(luò)。
　　Crook現(xiàn)在是賓夕法尼亞大學(xué)“Wharton Fellows”機(jī)構(gòu)的高級顧問、紐約科學(xué)院的成員、皇家工程學(xué)院的研究員和《The Power of Impossible Thinking》一書的共同作者。上個(gè)星期，他在ID管理公司Courion舉行的“Converge 05”會(huì)議上談了他自己的經(jīng)驗(yàn)。他強(qiáng)調(diào)說，企業(yè)官員必須善于傾聽其他人的意見，理解安全是人的問題，而不是機(jī)器的問題。
　　在分為兩部分的問答形式的文章的第一篇文章中，Crook解釋了公司如何在數(shù)據(jù)盜竊事件中幸存下來。
　　問:10年前花旗公司發(fā)生了什么事情?
　　答:有人入侵了緩存管理系統(tǒng)。這是一個(gè)數(shù)百萬美元的賭注，對我們所有的人都是一個(gè)巨大的打擊。我們知道攻擊來自于東歐，但是，我們不知道攻擊者是一個(gè)不熟練的黑客還是政府機(jī)構(gòu)。我真的擔(dān)心這種攻擊是來自前蘇聯(lián)的克格勃。
　　問:當(dāng)發(fā)現(xiàn)安全攻擊之后你采取了什么步驟?
　　答:我們叫來了聯(lián)邦調(diào)查局的人。Tsutomo Shimamura到公司來，給了我們很好的幫助。他是一個(gè)白帽(正義的黑客)。他曾幫助聯(lián)邦政府逮捕了黑客Kevin Mitnick(Kevin Mitnick曾因黑客犯罪被監(jiān)禁五年，后來成了一名成功的安全顧問、作者和演說家)。Mitnick 曾入侵Tsutomo的計(jì)算機(jī)，并且留下信息說“我已經(jīng)攻擊了你的計(jì)算機(jī)”。Tsutomo發(fā)現(xiàn)了Mitnick的信號，并且進(jìn)行了追蹤，協(xié)助聯(lián)邦政府逮捕了Mitnick。
　　這里還有一個(gè)有趣的事情。Tsutomo來幫助我們確認(rèn)發(fā)生了什么事情。我們的接待人員卻想把他趕走。Tsutomo穿了一件藍(lán)色的緞子短褲、一個(gè)畫滿了數(shù)學(xué)等式的體恤衫、一個(gè)頭盔和一雙旱冰鞋。接待人員揮手要趕他走，說:‘我們不接受送來的東西“。接待人員以為他是一個(gè)送貨童!最后，他幫助我們搞清楚了這個(gè)入侵者是一個(gè)不熟練的黑客，而不是政府機(jī)構(gòu)。
　　問:這件事情的最大教訓(xùn)是什么?
　　答:如果不重視安全問題，就會(huì)發(fā)生這種事情。我們沒有安全的外圍。到處都有調(diào)制解調(diào)器。我們公司有1億個(gè)客戶和30萬名雇員，這些人中間就可能存在攻擊者。這非常可怕。這個(gè)教訓(xùn)就是:安全是商務(wù)和經(jīng)濟(jì)問題。不要把安全僅當(dāng)作安全問題來說。
　　緩存管理系統(tǒng)一被攻破，我們對業(yè)務(wù)人員說的話就是:不要認(rèn)為這是一個(gè)安全問題。要把這個(gè)問題當(dāng)作是業(yè)務(wù)問題。安全是最復(fù)雜的問題之一，業(yè)務(wù)中的每一件事情都滲透著安全。
　　問:你在“Converge05”會(huì)議上的講話中提到了過于嚴(yán)格的安全系統(tǒng)的危險(xiǎn)。你能不能展開說一下?
　　答:所有的機(jī)構(gòu)都在變化和適應(yīng)。企業(yè)很少有靜止不動(dòng)的。在花旗銀行，每一個(gè)雇員一年都要調(diào)動(dòng)兩次工作。因此，當(dāng)你有一個(gè)不適用于這種變動(dòng)的靜態(tài)的和嚴(yán)格的系統(tǒng)時(shí)，肯定要失敗。使用高科技系統(tǒng)并且采取不變通的限制，有人就會(huì)發(fā)現(xiàn)攻擊系統(tǒng)的方法。
　　問:當(dāng)花旗銀行最近承認(rèn)有390萬客戶的信息丟失的時(shí)候，人們肯定會(huì)回憶起你10年前的經(jīng)歷。你認(rèn)為在這種情況下是公司處理問題不當(dāng)，還是公司正在盡最大的努力?
　　答:我認(rèn)為，當(dāng)這個(gè)事情發(fā)生時(shí)，你必須要做出反應(yīng)。你不能退縮，什么也不做，什么也不說。由于所有這些擔(dān)心都是有關(guān)身份證盜竊的事件，但是急于求成并不好。對于這種問題應(yīng)該采取更深入的和深思熟慮的方法。這種情況下需要后退一步，看看不同的思路。如果急于求成，立法人員認(rèn)為他們必須要立法。這就產(chǎn)生了一種認(rèn)識(shí)，以為企業(yè)不能自己處理這個(gè)問題。匆忙進(jìn)行的判斷常常導(dǎo)致不完善的解決方案。
　　問:企業(yè)是不是有這樣一種氣氛，當(dāng)安全攻擊事件發(fā)生時(shí)，企業(yè)不會(huì)坦率地說明這個(gè)問題?
　　答:企業(yè)最大的問題是，當(dāng)問題成為很重要的問題之前，是不被重視的。當(dāng)你的應(yīng)急工作沒有解決安全問題的時(shí)候，安全仍是一個(gè)艱巨的工作。