FBI入侵通知计划

FBI入侵通知计划是过去15年网络安全领域最重要的进展之一。该计划于2014年3月24日获得主流认可，当时Ellen Nakashima在《华盛顿邮报》的报道《美国在2013年向3000家公司通报了网络攻击》中进行了详细描述。报道指出：

“联邦特工去年通知了超过3000家美国公司其计算机系统遭到黑客入侵，白宫官员已告知行业高管，这是政府首次透露其向私营部门通报网络入侵的频率……其中约2000次通知由FBI亲自或通过电话进行，该局在56个外地办事处和总部拥有1000名专门从事网络安全调查的人员。官员表示，部分通知是针对同一公司的不同入侵事件。尽管首选亲自访问，但前官员表示资源限制限制了该局全部采用这种方式的能力……国土安全部下属负责调查财务动机网络犯罪的机构特勤局官员表示，他们在去年开立的590起刑事案件中通知了公司，官员称部分案件涉及多家公司。”

该计划之所以如此重要，是因为它打破了某些高管用于自我安慰的错觉。当FBI访问你的总部告知你已遭入侵时，你无法再假装入侵是"别人的问题"。对于某些读者来说，可能难以理解这种心态从IT初期到大约2010年有多么普遍。

我不确切知道FBI何时开始通知受害者，但我认为2000年代中期是一个安全的时间点。我个人可以证实大约在那个时期该计划的存在。

Andy Greenberg的新报道《FBI在2016年搞砸了其对DNC的黑客警告——但表示下次不会》提醒了我该计划的重要性。我强烈不同意这种"搞砸"的描述。Andy写道：

“尽管FBI特工在整整九个月前就开始通过一系列电话警告[IT工作人员Yared] Tamene可能存在俄罗斯黑客行为，但这次[民主党全国委员会]的入侵仍然令人震惊地出乎意料。Tamene告诉参议院委员会，FBI特工的警告’从未使用过令人警觉的语言’，且从未超过DNC的IT总监，后者在粗略搜索网络寻找异常迹象后驳回了这些警告。”

与所有入侵一样，刑事责任在于入侵者。然而，我不明白为什么FBI应该为这次入侵的展开方式承担责任。根据调查文件和Crowdstrike关于其参与的博客文章，从FBI通知DNC（2015年9月某时）到他们联系Crowdstrike（2016年4月30日）至少过去了七个月。这很荒谬。

如果我接到FBI的电话，甚至暗示我的网络中存在俄罗斯存在，我会在向CEO汇报电话内容后立即与专业事件响应公司联系。

我很高兴FBI继续改进其受害者通知程序，但如果负责IT和个人及组织疏忽，无论是由于无能还是不作为，这并没有太大区别。