前纽约市长鲁迪·乔兰尼(Rudy Giuliani)上个月加入了法务公司 Greenberg Traurig,成为了该公司网络安全及灾难管理部门的全球负责人。
鲁迪·乔兰尼
作为曾身患前列腺癌并得到治愈的幸存者,乔兰尼深深的怀疑,癌症这一疾病是否能找到真正的“完美解决方案”。他认为网络安全问题与此类似,对二者而言,及早发现问题均能够减少其造成的破坏。
2001年结束其第二个纽约市长任期之后,乔兰尼在2002年建立了一家安全咨询公司:Giuliani Partners。此后几年,他为了竞选总统放弃了公司运营,之后又重新回到法律领域。最终乔兰尼加入了 Greenberg Traurig ,负责网络安全及灾难管理业务。
下面是国外媒体市场观察(MarketWatch,以下简称 MW )最近对乔兰尼的采访内容。让我们来看看这位身跨政坛与网络安全两界的传奇人物,是如何看待网络安全的:
MW:你在什么时候对网络安全产生了兴趣?
乔兰尼:这要追溯到2003年。我读到了一篇关于网络安全的报道,文中提到,联邦调查局预测网络安全将成为未来的主流犯罪形式之一,其规模将达到前所未见的程度。
然而,真正让我感到兴趣的是,距离911事件仅仅过去了两年,他们认为这是国家安全遇到的重大问题。在技术上足够复杂的攻击者可以在美国本土之外对美国的公共设施和城市发起攻击,而根本无需进入美国境内。
MW:我最近和纽约市政府官员讨论了网络威胁问题。纽约市在去年发布了指导纲要,阐述了官方应如何对公众进行通报、如何恢复系统运作、并在网络安全事件中互相协调。在你担任市长时,网络安全是否属于政府考虑的问题之一?
乔兰尼:这在当时不是大问题,因为那时我们不像现在这样数字化。
我们在千年虫问题上数字化了。我们在千年虫上花了3亿美金。他们当时对我说计算机在千年到来的时候将会产生变化。然后就出现了各种各样胡言乱语的人:地铁将会停止运行、罪犯将会越狱、月亮会掉下来。我们几乎得备份所有的系统。
然而当千年虫真的到来,却没有发生问题。第二年,我做的唯一一件事就是高声地抱怨他们花掉了我3亿美金。然后911事件发生了。当时我说,我们应该早些花5亿美金的。在应急管理中心被摧毁之后仅仅两个半小时,我们就完成了重建工作。
MW:这都是因为你们有备份?
乔兰尼:因为这些数据都存在电脑上。因此我对科技产生了很大的兴趣,也认识到了保护技术的价值。
我们必须把网络威胁和其它类型的犯罪一视同仁,事实是不存在完美的解决方案。我们只有更好的解决方案。对癌症,我们没有完美的解决方案,但这不意味着我们不需要尽早发现它。
MW:在发生千年虫事件并意识到安全问题之后,你是否在保护这些系统方面进行了一些谈话?
乔兰尼:我必须要说的是,在911事件发生后我在职的那四个月里,面临的问题不是关于网络安全的。人们有一种防止上次攻击再次发生的本能。我们在防止空中攻击再次发生方面做了很多努力,但恐怖分子似乎不准备再次用这种方式袭击我们。
联邦调查局、警察部门和我本人相信,下一次攻击的形式可能是炭疽、天花、沙林毒气,甚至可能是带有核原料的脏弹。2001年的时候,没有人关注网络安全。也许当时我们应该这样做,但现在说这个也为时已晚。
此外,人们当时还有一种感觉,认为塔利班没有复杂到能够发动网络攻击的程度。直到2005年前后,我们才开始意识到电网很容易遭到攻击,电站很容易遭到攻击,城市也很容易遭到攻击。
MW:作为前市长,你是否关心美国城市的网络安全问题?
乔兰尼:我比较担心的是美国遭受网络窃贼攻击的整个局面。美国企业落后了,而且我个人认为美国政府也被落在了后面。
你只需要了解一下人事管理办公室(Office of Personnel Management)的入侵事件。很多背景审查信息遭到泄露,这都是非常敏感的信息。
MW:你曾经将这与另一种形式的犯罪相提并论。
乔兰尼:这让我想起了在1980年代打击过的另一种有组织的犯罪网络。罪犯并不像传统的有组织犯罪那样每个月开会、成员加入共同的组织、接触紧密。我们可以将其称为组织松散的黑帮。
MW:再讲讲 Giuliani Partners 涉足网络安全的原因吧。在你读到联邦调查局预测计算机犯罪将发展的报告之后,发生了什么?
乔兰尼:我读过之后和 Ernst & Young 公司董事长兼 CEO 吉姆·特力(Jim Turley)有过长谈。吉姆当时说:“该死的,我们应该开一家这样的公司。我们应该找到保护企业的最好方式。”
我们想到了渗透测试:从外部攻击一家企业。
之后我们找了很多 CEO 朋友聊这件事,他们全都说:“现在已经有了这样的公司,但它们让我们非常紧张,因为渗透测试公司雇佣了大量前黑客。”幸运的是,大多数此类公司都得到了改革。
我对救赎深信不疑,但我不相信能够完全靠雇佣“前黑客”建立一家公司。我必须完全确定他们已经弃恶从善了。因此吉姆和我决定选择一种不同的方式。我们在军队里有些关系。我们有许多监控系统,它们的保护措施非常完善。我们当时说,为什么不雇一些在这类项目上工作过的人呢?他们在工作20、25年之后一般就都退休了。我们可以试试建立公司的骨干团队,给他们配备计算机设备,开始干。我们正是这样做的。
MW:所以 Giuliani Partners 在2003年变成了渗透测试公司?
乔兰尼:我们是在04到05年之间启动的。
MW:你们当时有多少客户?
乔兰尼:30个左右吧。
MW:当时有谁关心网络安全吗?
乔兰尼:这些客户都是我俩的朋友。我们开会谈价格的氛围很好。当时开的价格很高,但对他们来说并不高,大约100万到200万美金吧。这和现在的花费可没法比。(注:摩根大通在2014年被黑客攻破时的网络安全预算是2.5亿美金,公司 CEO 杰米·戴蒙(Jamie Dimon)在事件发生后表示准备将网络安全预算加倍。)
MW:这都是什么样的公司?零售业还是金融?
乔兰尼:那些你能想到很敏感的公司。当时,制药企业很害怕同业人员黑他们。他们对中国倒没有那么紧张。有能源企业、供电企业、报纸。也有些大学。
最关键的问题是绕过一些安全员工,他们会说:“别担心了,老板。我们能解决。”吉姆和我会直接找 CEO ,这样就绕过了他们。尽管如此,在我们谈完要走的时候,这些安全员工还会过来说:“这些人就是想挣钱。”有时候我们没有成功发展客户,因为他们看不到问题的存在。
在讨论盈利的时候,我们没办法跟他们说:“你现在花100万美金,如果遭受了攻击,就能省下200万。”
乔兰尼:确实。在当时,网络安全更多属于假象,而不是真实存在的威胁,尽管它的确存在。我们当时使用的推销方式是:让我们攻击你的公司一个月。如果入侵失败了,你可以让我们走人。我记得,在50次攻击里,我们成功了48次。只有两次,我们没有攻破目标。
MW:你刚才谈到了潜在客户。你现在是否还会遇到与2003年时类似的问题?还有人会质疑在网络安全上投资的价值吗?
乔兰尼:局面正开始改变。也存在一些相当大的公司只愿意像贴创可贴一样处理网络安全。他们产生了一种自己不会被黑的错觉。也许是他们自己不愿意相信。
