網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)正在持續(xù)增大，企業(yè)有必要考慮，如果遭到網(wǎng)絡(luò)攻擊，公司的董事會(huì)是否需要為未采取有效防護(hù)措施，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而承擔(dān)責(zé)任。本文旨在為組織的董事會(huì)成員提供一些建議，理清企業(yè)在網(wǎng)絡(luò)攻擊之前、期間和之后應(yīng)采取的行動(dòng)。

　　網(wǎng)絡(luò)攻擊損失不容小覷

　　據(jù)研究數(shù)據(jù)顯示，2022年數(shù)據(jù)泄露給企業(yè)造成的平均損失為435萬(wàn)美元；如果是勒索軟件攻擊，損失將增加到454萬(wàn)美元。當(dāng)然這只是估計(jì)，在某些國(guó)家或地區(qū)平均損失更高，比如在美國(guó)，損失接近1000萬(wàn)美元。

　　此外，網(wǎng)絡(luò)攻擊對(duì)組織業(yè)務(wù)運(yùn)營(yíng)造成的后果不僅是危及客戶和員工的個(gè)人數(shù)據(jù)這一個(gè)維度。計(jì)算機(jī)系統(tǒng)被攻擊者加密還會(huì)使業(yè)務(wù)運(yùn)行陷于停頓，一方面是由于攻擊通常發(fā)生在企業(yè)響應(yīng)準(zhǔn)備最不充分的時(shí)候，比如圣誕節(jié)、夏天旺季和周末，如果加密的數(shù)據(jù)無(wú)法恢復(fù)，生產(chǎn)線、商店、電子商務(wù)網(wǎng)站及所有業(yè)務(wù)運(yùn)營(yíng)統(tǒng)統(tǒng)陷入停頓。同時(shí)，企業(yè)還將面臨懲罰和罰款的風(fēng)險(xiǎn)，因?yàn)椴粌H要遵守隱私和數(shù)據(jù)保護(hù)法律，還要遵守如今各種網(wǎng)絡(luò)安全法規(guī)。

　　董事會(huì)的義務(wù)和責(zé)任

　　鑒于網(wǎng)絡(luò)攻擊會(huì)給企業(yè)造成極大的損失，企業(yè)董事會(huì)（尤其是上市企業(yè)）必須監(jiān)督企業(yè)為防止網(wǎng)絡(luò)攻擊采取行動(dòng)，并在攻擊發(fā)生后能迅速采取糾正措施。但遺憾的是，只有少數(shù)企業(yè)做到。這不僅僅是建議部署安全措施的問(wèn)題，因?yàn)?5%的網(wǎng)絡(luò)攻擊是人為錯(cuò)誤造成的，需要加強(qiáng)每個(gè)員工的安全意識(shí)教育。

　　日常的網(wǎng)絡(luò)風(fēng)險(xiǎn)分析也是安全培訓(xùn)工作和組織控制流程審查的重要組成部分。不可能完全排除網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，因?yàn)榫W(wǎng)絡(luò)犯罪分子總是比受害者搶先一步。企業(yè)必須能夠通過(guò)網(wǎng)絡(luò)安全合規(guī)計(jì)劃證明已經(jīng)采取了隱私和網(wǎng)絡(luò)安全法規(guī)要求的所有措施，這就需要具備復(fù)雜的法律和技術(shù)知識(shí)，因?yàn)榕e證責(zé)任將由企業(yè)承擔(dān)。

　　此外，購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)可以在一定程度上減小安全攻擊事件對(duì)企業(yè)造成的負(fù)面經(jīng)濟(jì)影響，并讓企業(yè)可以依賴事件響應(yīng)系統(tǒng)和保險(xiǎn)公司提供的專家顧問(wèn)服務(wù)。

　　遭到網(wǎng)絡(luò)攻擊時(shí)

　　董事會(huì)該如何做？

　　根據(jù)經(jīng)驗(yàn)，如果遭到重大網(wǎng)絡(luò)攻擊，企業(yè)的首席執(zhí)行官、總經(jīng)理和董事會(huì)都應(yīng)該立即介入，因?yàn)榫W(wǎng)絡(luò)攻擊給企業(yè)帶來(lái)的風(fēng)險(xiǎn)非常高。

　　從董事會(huì)責(zé)任的角度來(lái)看，遭到網(wǎng)絡(luò)攻擊最糟糕的情況包括：

　　上述行動(dòng)已在董事會(huì)上討論過(guò)，但尚未采取任何行動(dòng)；

　　采取了風(fēng)險(xiǎn)分析措施，也發(fā)現(xiàn)了信息系統(tǒng)的薄弱環(huán)節(jié)，但企業(yè)沒(méi)有及時(shí)消除這些薄弱環(huán)節(jié)；

　　企業(yè)意識(shí)到了這些問(wèn)題，但并沒(méi)有支付費(fèi)用來(lái)購(gòu)買涵蓋網(wǎng)絡(luò)風(fēng)險(xiǎn)的保單；

　　為此，董事會(huì)將不得不做以下工作：

　　分析需要采取的糾正措施，盡量降低網(wǎng)絡(luò)攻擊的負(fù)面影響；

　　評(píng)估攻擊造成的經(jīng)濟(jì)影響，包括可能面臨的懲罰，是否需要通知股東，并留出預(yù)算；

　　決定是否應(yīng)該將事件上報(bào)主管部門(mén)，并告知數(shù)據(jù)被泄露的個(gè)人。

　　遭到勒索軟件攻擊后，通常需要與網(wǎng)絡(luò)犯罪分子進(jìn)行談判，以爭(zhēng)取時(shí)間、降低贖金，并獲得保險(xiǎn)企業(yè)的批準(zhǔn)。在大多數(shù)情況下，企業(yè)會(huì)設(shè)法避免支付贖金，因?yàn)椋?/p>

　　取決于所在地區(qū)以及威脅分子的身份，支付贖金可能是非法的；

　　支付贖金并不能保證數(shù)據(jù)會(huì)被解密，這還需要分析威脅分子的聲譽(yù)和以往表現(xiàn)；

　　這可能會(huì)造成企業(yè)聲譽(yù)受損。

　　然而在數(shù)據(jù)備份副本都已加密并且無(wú)法恢復(fù)的情況下，如果不違反當(dāng)?shù)胤ㄒ?guī)，企業(yè)可能需要考慮支付贖金，此時(shí)需要考慮如何讓董事會(huì)批準(zhǔn)支付贖金。

　　除了滿足監(jiān)管報(bào)告要求外，如何向公眾通報(bào)網(wǎng)絡(luò)攻擊事件也是很棘手的事情。企業(yè)不能矢口否認(rèn)發(fā)生的一切。黑客通常有自己的網(wǎng)站，還有一些網(wǎng)站專門(mén)披露相關(guān)的信息。此外，威脅分子很可能在暗網(wǎng)上公布泄露的數(shù)據(jù)，以提供泄露的證據(jù)。因此，有必要確保公眾在從媒體獲悉網(wǎng)絡(luò)攻擊之前先從企業(yè)獲悉，那樣才能繼續(xù)獲得信任。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<