2001 年 9 月 11 日的早晨,特納歐文律師事務所的工作人員與其他任何一天一樣開始,該律師事務所位於自由廣場 21 層,與北世界職業設施大樓隔街相望。緊接著,所有人都聽到了一聲巨響,他們的結構彷彿在地震中一樣顫抖起來。碎片從天而降。
由於不知道發生了什麼,他們迅速有序地離開了結構——這要歸功於有條不紊的排放演習——帶著他們可以出去的任何數據。文件櫃和計算機系統系統都必須留下。在隨後發生的災難中,自由廣場一號被毀壞,前10層扭曲傾斜——特納和歐文的辦公室被殲滅。
儘管 Turner & Owen IT 團隊為他們的計算機系統系統製作了正常的備份磁帶,但這些磁帶已被發送到位於南世貿中心大廈的公司部門,並且在南塔受損時完全脫落. Frank Turner 和 Ed Owen 知道他們需要恢復他們的實例數據源或可能會失敗,他們冒著生命危險爬進了結構不穩定的 One Freedom Plaza,還獲得了 2 個文件服務器,其中包含他們最重要的記錄。有了這些信息,歐文特納律師事務所不到 2 週就可以恢復工作。
人們可以相信,在這樣一場毀滅性的死亡事件發生多年後,住宅或商業財產和信息肯定會出現巨大差異,並且公司努力保護其員工、資產和數據的方法也會有所改進。儘管如此,調整實際上比許多人預期的更加穩定。一位不願透露姓名的信息安全專家表示:“一些本應收到警鐘的組織似乎忽略了這一信息。”看看自 9 月 11 日以來多年來一直在創造的一些時尚揭示了向好調整的跡象——儘管尋求更多保護髮展的需求非常明顯。
考慮到 2001 年 9 月 11 日發生在聯邦政府級別的CISM 認證保護細節,最顯著的修改。一系列行政命令、法案、方法以及全新的部門、部門和董事會都專注於保護美國的設施,重點是細節防禦。
9/11 後僅一個月,國家元首 Shrub 批准了第 13231 號行政命令“信息時代的關鍵基礎設施防禦”,該命令成立了國家元首的重要設施防禦委員會 (PCIPB)。2002 年 7 月,國家元首布什發起了國家國土安全戰略,要求成立國土安全和安保司 (DHS),該司將努力避免、發現和應對化學、有機襲擊、放射和核 (CBRN) 工具。2002 年 11 月簽署成為立法的《國土安全法》使 DHS 成為事實。
2003 年 2 月,國土安全部助理湯姆·里奇發布了兩項戰略:“保護網絡世界的國家技術”,旨在“讓美國人參與並裝備他們來保護他們擁有、運營、控制的網絡世界的各個部分。 , 或與他們交流”以及“關鍵設施和特技財產物理防禦的國家方法”,其中“制定了指導概念,這些概念將支持我們保護對我們國家安全和至關重要的設施和財產的倡議。安全、行政管理、公共衛生和安全保障、經濟環境以及公眾信心”。
此外,在國土保護部的詳細分析以及設施安全 (IAIP) 局下,還創建了關鍵框架保證辦公室 (CIAO) 和國家網絡安全與安保司 (NCSD)。NCSD 最關心的問題之一是建立一個綜合網絡安全監測、分析和響應設施,以跟進國家保護網絡空間方法的基本建議。
由於聯邦政府的所有這些任務都與保護由關鍵細節系統組成的設施有關,人們可能認為這肯定會對經濟部門的信息保護方法產生明顯的影響。但對國家網絡空間安全技術的反饋尤其不溫不火,批評指出其缺乏監管、獎勵、融資和執法。信息保護專家的觀點似乎是,如果沒有可靠的信息安全法律和聯邦一級的領導,至少在經濟領域保護我們國家基本信息的做法肯定不會有顯著改善。
行業格局
然而,私營部門似乎正在推動一種時尚,那就是更加關注共享安全相關細節的要求,以列舉一些公司和尚未以匿名方式這樣做的公司。為此,一個組織可以參與十幾個或兩個行業特定的信息共享以及分析中心 (ISAC)。ISAC 收集信號並執行分析以及對物理和網絡威脅、漏洞和警告的警報。它們提醒公共和私營部門保護重要信息技術框架、公司和人員所必需的保護信息。ISAC 參與者還可以訪問與其他成員提供的詳細信息以及從各種其他來源(例如美國政府、警察、
在克林頓總統關於重要框架安全的總統決策指令 (PDD) 63 的敦促下,ISAC 在 9/11 前幾年開始創建;Shrub 管理層仍然支持 ISAC 的發展,以接受 PCIPB 和 DHS。
ISAC 存在於許多主要行業,包括用於信息技術的 IT-ISAC、用於銀行的 FS-ISAC 以及用於全球所有行業的 World Wide ISAC。在過去幾年中,ISAC 的訂閱實際上已經激增,因為許多組織認識到參與 ISAC 有助於履行其應有的治療承諾,以保護基本細節。
從 9/11 中汲取的一個重要教訓是,公司連接和災難恢復 (BC/DR) 準備要求是穩健和普遍評估的。“服務連接計劃實際上已經從讓審計師滿意的可選項變成了董事會必須認真考慮的事情,”普華永道全球危險管理解決方案主管 Richard Luongo 在襲擊發生後不久聲稱。BC/DR 實際上已經確認了它的投資回報率,並且大多數組織實際上都非常關注確保他們的服務和細節在發生災難時可以恢復。
實際上,人們也越來越關注危險管理服務以及它們如何與投資回報率以及公司的預算需求相關聯。與過去相比,存在更多的會議、書籍、文章以及危險監測項目。雖然這一領域的一些發展可以歸功於 HIPAA、GLBA、Sarbanes Oxley、巴塞爾 II 等立法,但 9/11 做了很多工作,使人們開始將威脅和漏洞視為風險的一部分,以及應該做些什麼來管理這種威脅。