SECURITY 7 金融賣信任 安全誰敢當-金融服務業

　　雖然，Stephen Bonner是意外地踏入資訊安全這塊領域，但他的成功並非偶然。

　　儘管他是數學底子起家，Bonner也歷經了學術網路、政府機構、私人企業經驗，擔任過許多技術職位，肩負的網路安全責任也越來越重大。歷經這幾年的歷練，Bonner終於找到了令人艷羨的工作，總部位於倫敦的Barclays Capital銀行的全球資訊風險主管。

　　他的際遇還算不錯，雖然Bonner是以門外漢的角度切入網路安全領域，但他的成果卻令人驚訝！他和他的組員讓Barclays英國分部兩年內都沒有遭到任何電腦病毒感染。成立一個內部鑑識與危機處理小組，並且規劃了一套預防流程，可以找出潛在的惡意員工，避免公司內部風險。

　　「我一直都對網路安全充滿興趣，但，花了好幾年的時間我才了解到安全的確要花費不少力氣，是一段很艱辛的路途。」Bonner說道。「當年在UK政府機構做事時，一直循規蹈矩地把計畫在預期時間內完成，也不超出預算。銀行界有足夠的預算讓你發揮，不過當然，也不是毫無止盡的浪費。」

　　在2 0 0 3 年進入Barclays之前，Bonner在幾所大學環境中磨練所學，包括牛津大學，接著，也曾在90年代後期，在Richard Branson(英國最有名的企業家)旗下一家新興的ISP－Virgin.net服務過。那時，令人猜不透的Branson希望有人能協助他完成他最重要的計畫，而Bonner勇敢地接受這項挑戰，在Virgin.net服務期間，該ISP用戶成長了近20倍，Bonner也感受到自己肩負起Virgin.net的安全大任。

　　認識Bonner的人都說他的背景，使他具有相當獨特的能力，讓他能有效地處理業界與網路安全相關問題。

　　「他總能夠找出問題點所在。」Skybox Security 的CEO Gidi Cohen說道。Skybox Security是一家開發風險分析軟體的公司。Bonner是該公司客戶諮詢委員會的委員之一。「對於風險管理的了解讓他對管控措施駕輕就熟，對他來說，將這些知識轉成網路安全上的應用是很自然的。我們同樣了解到，安全與風險管理將會走向合併之路。」

　　在Virgin.net，Bonner也創立一套能夠對抗網路駭客的訓練。Branson對於惡搞網路的壞蛋沒什麼耐心，所以Bonner得很快地找出成功起訴駭客的證據。

　　「他有許多專家能提供很好的建議！」Bonner說道。「我只是協助處理許多事件。」

　　事實上，Bonner處理這些起訴事件的成功機率是百分之百。這些在法庭上、機房中的經驗，讓Bonner得以成功地在Barclays發揮所長，設計出一套電腦鑑識與調查程序。雖然這家公司有時會將電腦鑑識委外，但絕大部分都是由Bonner帶領的29人團隊，具備熱忱與電腦鑑識調查能力的安全專家來處理這些事情。一般像是銀行或是金融服務機構，由於本身特殊的定位，易遭致各種類型的攻擊。從釣魚網站、內部威脅、一直到客製化的木馬程式。Bonner與他的團隊接觸到越多類型的攻擊手法，他們就更能熟練地去面對這些威脅並且阻止他們發生。

　　「有一半組員其實才剛開始訓練。我的小組有點像是小城鎮中的消防隊，我們可以撲滅小火災，但在大火災發生時，則得以呼叫消防署前來支援。」Bonner說道。「他們處理過許多事件，某些方面我們的確是這領域中最棒的。」

　　小組的專業技能是Bonner經由事前規劃與準備所累積的成果，並非碰上事件見招拆招所累積。而若非有Barclays高層的全力支持，Bonner是無法完成這些規劃的。

　　「我們總能獲得所需要的支持，高層甚至給的更多！」Bonner說道。「這讓我們始終能保持技術領先。而其他公司卻非常地被動。當事件發生時，他們可能才要向外尋求資金援助。而我們是一旦事件發生，便早已有所準備。你不能在問題發生時才開始建構處理計畫，那樣太慢了。」