2001 年 9 月 11 日上午,特納歐文律師事務所的工作人員與其他任何一天一樣開始,該律師事務所位於自由廣場 21 樓,就在北環球貿易中心大樓附近。在那之後,每個人都聽到了巨大的爆炸聲,他們的結構也像地震一樣搖晃起來。碎片從天而降。
由於不知道發生了什麼,他們迅速以有組織的方式離開了結構——這要歸功於有條不紊的排空演習方法——他們可以帶走任何數據。提交機櫃以及計算機系統系統都需要留下。在發生的災難中,自由廣場一號被摧毀並傾斜,領先的 10 層樓被翻轉——特納和歐文的辦公室被殲滅。
儘管 Turner & Owen 的 IT 人員為他們的計算機系統系統製作了正常的備份磁帶,但這些磁帶已被送往位於 South World Profession Facility Tower 的業務部門,並且在 South Tower 被摧毀時完全丟失了。弗蘭克·特納(Frank Turner)和埃德·歐文(Ed Owen)知道他們必須收回他們的案例數據源或可能會倒閉,他們冒著生命危險爬進了結構不穩定的自由廣場一號,還獲得了兩台數據服務器以及他們最重要的文件。有了這些信息,歐文特納律師事務所就有能力在不到兩週後恢復工作。
人們可能會認為,在這樣一場毀滅性的死亡之後,財產和細節肯定會有顯著的區別,而且服務部門努力保護其員工、財產和信息的手段也會有所改善。然而,修改實際上比許多人實際預期的要進步得多。“一些本應接到叫醒電話的公司似乎實際上忽略了這條信息,”一位喜歡繼續匿名的信息安全和安全專家說。考慮一下多年來一直在考慮的一些趨勢9 月 11 日顯示了向好的變化的跡象——儘管需要額外的信息安全改進是非常清楚的。
自 2001 年 9 月 11 日以來,細節保護方面最明顯的變化之一發生在聯邦政府層面。一系列行政命令、法案、戰略以及新的部門、部門和董事會都集中在保護美國的設施上,重點是信息保護。
9/11 後僅一個月,布什總統簽署了第 13231 號行政命令“細節時代的基本設施安全”,該命令建立了總統的關鍵框架安全委員會 (PCIPB)。2002 年 7 月,國家元首布什發布了《國土安全和安保國家戰略》,要求建立國土安全部 (DHS),這肯定會引發避免、識別和回應化學襲擊的運動,有機、放射和核 (CBRN) 工具。國土安全法於 2002 年 11 月授權進入監管,使國土安全部成為事實。
2003 年 2 月,國土安全部助理 Tom Ridge 發布了 2 項技術:“保護網絡世界的國家方法”,旨在“讓美國人參與並授權他們保護他們擁有、運行的網絡世界部分” 、監管或與之互動”和“基本設施和關鍵資產的物理防禦國家戰略”,其中“制定了指導原則,這些原則肯定會支持我們保護對我們至關重要的基礎設施和資產的舉措。國家安全、治理、公共衛生以及安全保障、經濟和公眾信心”。
此外,在國土保護部的詳細分析和框架安全 (IAIP) 局下,重要設施保障辦公室 (CIAO) 以及國家網絡安全部 (NCSD) 都成立了。NCSD 的首要優先事項之一是開發一個綜合的網絡保護跟踪、分析和反應中心,以跟進國家安全網絡世界方法的重要轉介。
由於聯邦政府的所有這些任務都與保護由基本信息系統組成的基礎設施有關,人們可能認為這將對私營部門的信息安全實踐產生明顯的影響。然而,對保護網絡空間的國家戰略的行動實際上一直很熱烈,反對意見集中在其缺乏指導方針、激勵措施、融資和執法方面。信息安全和安全專家的信念似乎是,如果沒有可靠的信息安全和安全法規以及聯邦層面的領導,保護我國重要信息的技術,至少在經濟領域,肯定不會有太大的改變正確的。
市場走向
然而,似乎在經濟領域推動的一個趨勢是,人們更加關注共享安全相關信息的要求,以列舉一些公司以及以匿名方式進行的公司。為此,公司可以參與大約十幾個行業特定的信息共享和分析中心 (ISAC)。ISAC 收集有關物理和網絡危險、漏洞和警告的信息並執行分析和警報。他們通知公共和私營部門保護基本信息技術設施、公司和人員所需的保護細節。ISAC 成員還可以訪問詳細信息並評估連接到其他各種成員提供的詳細信息,並且還可以從各種其他資源獲得,例如美國聯邦政府、執法機構、
在克林頓總統關於關鍵基礎設施安全的總統決策指令 (PDD) 63 的敦促下,ISAC 最初在 9/11 前幾年開始創建;布什政府仍然支持 ISAC 的發展,以與 PCIPB 和 DHS 合作。
ISAC 存在於大多數主要行業,包括信息技術的 IT-ISAC、銀行的 FS-ISAC 以及全球所有行業的 World Wide ISAC。ISAC的CISM 認證成員在過去幾年中實際上迅速增長,因為許多公司認識到參與 ISAC 有助於履行其應有的處理義務以保護關鍵信息。
從 9/11 中吸取的一個重要教訓是,服務連接和災難恢復 (BC/DR) 計劃需要持久且經常檢查。普華永道全球威脅監控解決方案主管 Richard Luongo 在襲擊事件發生後不久表示:“公司連接規劃實際上已經從讓審計師滿意的自由裁量權變成了董事會必須認真考慮的事情。” BC/DR 實際上已經驗證了其投資回報,並且大多數組織實際上都非常關注保證他們的組織和細節在發生災難時可以恢復。
同樣,人們越來越關注風險監控選項以及它們如何與投資回報率以及企業的預算需求相關聯。與過去相比,存在更多關於威脅管理的會議、書籍、帖子和產品。雖然該領域的一些發展可以歸因於 HIPAA、GLBA、Sarbanes Oxley、巴塞爾 II 等立法,但 9/11 做了很多工作,使人們開始將危險和脆弱性視為危險和需要做些什麼來應對這種威脅。