网络攻击的风险不断增加。企业在遭受网络攻击时,未采取有效防护措施降低网络安全风险,是否应追究公司董事会的责任,是企业需要思考的问题。本文旨在为组织的董事会成员提供一些关于在网络攻击之前、期间和之后应该做什么的建议。网络攻击损失不容小觑据研究数据显示,2022年数据泄露给企业造成的平均损失为435万美元;如果是勒索软件攻击,损失将增至454万美元。当然,这只是一个估计。在一些国家或地区,平均损失更高。比如在美国,损失接近1000万美元。此外,网络攻击对组织业务运营的影响不仅限于危害客户和员工个人数据的层面。攻击者对计算机系统进行加密也可能导致业务运营陷入停顿。一方面,由于攻击通常发生在企业应对准备最不充分的时期,如圣诞节、夏季旺季、周末等,如果加密数据无法恢复,产线、门店等、电商网站和所有业务运营都陷入停顿。同时,企业也将面临处罚和罚款的风险,因为他们不仅要遵守隐私和数据保护法,还要遵守当今各种网络安全法规。董事会的义务和责任鉴于网络攻击会给公司造成重大损失,公司(特别是上市公司)董事会必须监督公司防范网络攻击的行为,并在事后迅速采取纠正措施。攻击发生。但不幸的是,只有少数公司这样做。这不仅仅是推荐安全措施的问题,因为95%的网络攻击是由人为错误引起的,需要对每位员工进行更多的安全意识教育。常规网络风险分析也是安全培训工作和组织控制流程审查的重要组成部分。不可能完全排除网络攻击的风险,因为网络犯罪分子总是比受害者先一步。企业必须能够通过网络安全合规计划证明已采取隐私和网络安全法规要求的所有措施。这需要复杂的法律和技术知识,因为举证责任将由企业承担。此外,购买网络安全保险可以在一定程度上降低安全攻击对企业造成的负面经济影响,让企业可以依赖保险公司提供的事件响应系统和专家咨询服务。董事会在受到网络攻击时应该怎么做?根据经验,如果发生重大网络攻击,公司的CEO、总经理和董事会应该立即介入,因为网络攻击对企业的风险是非常高的。从董事会责任的角度来看,网络攻击的最坏情况包括:上述行动已在董事会讨论,但尚未采取任何行动;已采取风险分析措施,发现信息系统薄弱环节,但未及时消除薄弱环节;企业知道问题,但没有支付涵盖网络风险的保险单;为此,董事会必须执行以下操作:分析需要采取的纠正措施,以最大限度地减少网络攻击的负面影响;评估攻击的经济影响,包括可能的处罚,是否需要通知股东,并预留预算;决定是否应将事件报告给当局,以及是否应通知数据泄露的个人。勒索软件攻击后,往往需要与网络犯罪分子谈判,争取时间、降低赎金,并获得保险公司的批准。在大多数情况下,企业会尽量避免支付赎金,因为:根据地区和威胁者的身份,支付赎金可能是非法的;支付赎金并不能保证数据会被解密,需要分析威胁行为者的声誉和过去的表现;这可能会对企业造成声誉损害。但在数据备份副本被加密无法恢复的情况下,在不违反当地法规的情况下,该公司可能需要考虑支付赎金。这时候就需要考虑如何让董事会批准支付赎金。除了满足监管报告要求外,如何向公众通报网络攻击也很棘手。企业不能简单地否认发生的事情。黑客通常有自己的网站,有些网站专门公开相关信息。此外,威胁行为者可能会在暗网上发布泄露的数据,以提供违规证据。因此,有必要确保公众在从媒体了解网络攻击之前先从企业了解网络攻击,这样才能继续赢得信任。
