《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 遭到網(wǎng)絡(luò)攻擊后,企業(yè)董事會應該承擔責任嗎?

遭到網(wǎng)絡(luò)攻擊后,企業(yè)董事會應該承擔責任嗎?

2022-11-19
來源:安全牛
關(guān)鍵詞: 網(wǎng)絡(luò)攻擊 董事會

  網(wǎng)絡(luò)攻擊風險正在持續(xù)增大,企業(yè)有必要考慮,如果遭到網(wǎng)絡(luò)攻擊,公司的董事會是否需要為未采取有效防護措施,降低網(wǎng)絡(luò)安全風險而承擔責任。本文旨在為組織的董事會成員提供一些建議,理清企業(yè)在網(wǎng)絡(luò)攻擊之前、期間和之后應采取的行動。

  網(wǎng)絡(luò)攻擊損失不容小覷

  據(jù)研究數(shù)據(jù)顯示,2022年數(shù)據(jù)泄露給企業(yè)造成的平均損失為435萬美元;如果是勒索軟件攻擊,損失將增加到454萬美元。當然這只是估計,在某些國家或地區(qū)平均損失更高,比如在美國,損失接近1000萬美元。

  此外,網(wǎng)絡(luò)攻擊對組織業(yè)務運營造成的后果不僅是危及客戶和員工的個人數(shù)據(jù)這一個維度。計算機系統(tǒng)被攻擊者加密還會使業(yè)務運行陷于停頓,一方面是由于攻擊通常發(fā)生在企業(yè)響應準備最不充分的時候,比如圣誕節(jié)、夏天旺季和周末,如果加密的數(shù)據(jù)無法恢復,生產(chǎn)線、商店、電子商務網(wǎng)站及所有業(yè)務運營統(tǒng)統(tǒng)陷入停頓。同時,企業(yè)還將面臨懲罰和罰款的風險,因為不僅要遵守隱私和數(shù)據(jù)保護法律,還要遵守如今各種網(wǎng)絡(luò)安全法規(guī)。

  董事會的義務和責任

  鑒于網(wǎng)絡(luò)攻擊會給企業(yè)造成極大的損失,企業(yè)董事會(尤其是上市企業(yè))必須監(jiān)督企業(yè)為防止網(wǎng)絡(luò)攻擊采取行動,并在攻擊發(fā)生后能迅速采取糾正措施。但遺憾的是,只有少數(shù)企業(yè)做到。這不僅僅是建議部署安全措施的問題,因為95%的網(wǎng)絡(luò)攻擊是人為錯誤造成的,需要加強每個員工的安全意識教育。

  日常的網(wǎng)絡(luò)風險分析也是安全培訓工作和組織控制流程審查的重要組成部分。不可能完全排除網(wǎng)絡(luò)攻擊的風險,因為網(wǎng)絡(luò)犯罪分子總是比受害者搶先一步。企業(yè)必須能夠通過網(wǎng)絡(luò)安全合規(guī)計劃證明已經(jīng)采取了隱私和網(wǎng)絡(luò)安全法規(guī)要求的所有措施,這就需要具備復雜的法律和技術(shù)知識,因為舉證責任將由企業(yè)承擔。

  此外,購買網(wǎng)絡(luò)安全保險可以在一定程度上減小安全攻擊事件對企業(yè)造成的負面經(jīng)濟影響,并讓企業(yè)可以依賴事件響應系統(tǒng)和保險公司提供的專家顧問服務。

  遭到網(wǎng)絡(luò)攻擊時

  董事會該如何做?

  根據(jù)經(jīng)驗,如果遭到重大網(wǎng)絡(luò)攻擊,企業(yè)的首席執(zhí)行官、總經(jīng)理和董事會都應該立即介入,因為網(wǎng)絡(luò)攻擊給企業(yè)帶來的風險非常高。

  從董事會責任的角度來看,遭到網(wǎng)絡(luò)攻擊最糟糕的情況包括:

  上述行動已在董事會上討論過,但尚未采取任何行動;

  采取了風險分析措施,也發(fā)現(xiàn)了信息系統(tǒng)的薄弱環(huán)節(jié),但企業(yè)沒有及時消除這些薄弱環(huán)節(jié);

  企業(yè)意識到了這些問題,但并沒有支付費用來購買涵蓋網(wǎng)絡(luò)風險的保單;

  為此,董事會將不得不做以下工作:

  分析需要采取的糾正措施,盡量降低網(wǎng)絡(luò)攻擊的負面影響;

  評估攻擊造成的經(jīng)濟影響,包括可能面臨的懲罰,是否需要通知股東,并留出預算;

  決定是否應該將事件上報主管部門,并告知數(shù)據(jù)被泄露的個人。

  遭到勒索軟件攻擊后,通常需要與網(wǎng)絡(luò)犯罪分子進行談判,以爭取時間、降低贖金,并獲得保險企業(yè)的批準。在大多數(shù)情況下,企業(yè)會設(shè)法避免支付贖金,因為:

  取決于所在地區(qū)以及威脅分子的身份,支付贖金可能是非法的;

  支付贖金并不能保證數(shù)據(jù)會被解密,這還需要分析威脅分子的聲譽和以往表現(xiàn);

  這可能會造成企業(yè)聲譽受損。

  然而在數(shù)據(jù)備份副本都已加密并且無法恢復的情況下,如果不違反當?shù)胤ㄒ?guī),企業(yè)可能需要考慮支付贖金,此時需要考慮如何讓董事會批準支付贖金。

  除了滿足監(jiān)管報告要求外,如何向公眾通報網(wǎng)絡(luò)攻擊事件也是很棘手的事情。企業(yè)不能矢口否認發(fā)生的一切。黑客通常有自己的網(wǎng)站,還有一些網(wǎng)站專門披露相關(guān)的信息。此外,威脅分子很可能在暗網(wǎng)上公布泄露的數(shù)據(jù),以提供泄露的證據(jù)。因此,有必要確保公眾在從媒體獲悉網(wǎng)絡(luò)攻擊之前先從企業(yè)獲悉,那樣才能繼續(xù)獲得信任。



更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。