網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)正在持續(xù)增大，企業(yè)有必要考慮，如果遭到網(wǎng)絡(luò)攻擊,，公司的董事會(huì)是否需要為未采取有效防護(hù)措施,，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而承擔(dān)責(zé)任。本文旨在為組織的董事會(huì)成員提供一些建議,，理清企業(yè)在網(wǎng)絡(luò)攻擊之前,、期間和之后應(yīng)采取的行動(dòng)。

　　網(wǎng)絡(luò)攻擊損失不容小覷

　　據(jù)研究數(shù)據(jù)顯示,，2022年數(shù)據(jù)泄露給企業(yè)造成的平均損失為435萬(wàn)美元,；如果是勒索軟件攻擊，損失將增加到454萬(wàn)美元,。當(dāng)然這只是估計(jì),，在某些國(guó)家或地區(qū)平均損失更高，比如在美國(guó),，損失接近1000萬(wàn)美元,。

　　此外，網(wǎng)絡(luò)攻擊對(duì)組織業(yè)務(wù)運(yùn)營(yíng)造成的后果不僅是危及客戶和員工的個(gè)人數(shù)據(jù)這一個(gè)維度,。計(jì)算機(jī)系統(tǒng)被攻擊者加密還會(huì)使業(yè)務(wù)運(yùn)行陷于停頓,，一方面是由于攻擊通常發(fā)生在企業(yè)響應(yīng)準(zhǔn)備最不充分的時(shí)候，比如圣誕節(jié),、夏天旺季和周末,，如果加密的數(shù)據(jù)無(wú)法恢復(fù)，生產(chǎn)線,、商店,、電子商務(wù)網(wǎng)站及所有業(yè)務(wù)運(yùn)營(yíng)統(tǒng)統(tǒng)陷入停頓。同時(shí),，企業(yè)還將面臨懲罰和罰款的風(fēng)險(xiǎn),，因?yàn)椴粌H要遵守隱私和數(shù)據(jù)保護(hù)法律，還要遵守如今各種網(wǎng)絡(luò)安全法規(guī),。

　　董事會(huì)的義務(wù)和責(zé)任

　　鑒于網(wǎng)絡(luò)攻擊會(huì)給企業(yè)造成極大的損失,，企業(yè)董事會(huì)（尤其是上市企業(yè)）必須監(jiān)督企業(yè)為防止網(wǎng)絡(luò)攻擊采取行動(dòng)，并在攻擊發(fā)生后能迅速采取糾正措施,。但遺憾的是,，只有少數(shù)企業(yè)做到。這不僅僅是建議部署安全措施的問(wèn)題,，因?yàn)?5%的網(wǎng)絡(luò)攻擊是人為錯(cuò)誤造成的,，需要加強(qiáng)每個(gè)員工的安全意識(shí)教育。

　　日常的網(wǎng)絡(luò)風(fēng)險(xiǎn)分析也是安全培訓(xùn)工作和組織控制流程審查的重要組成部分,。不可能完全排除網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),，因?yàn)榫W(wǎng)絡(luò)犯罪分子總是比受害者搶先一步,。企業(yè)必須能夠通過(guò)網(wǎng)絡(luò)安全合規(guī)計(jì)劃證明已經(jīng)采取了隱私和網(wǎng)絡(luò)安全法規(guī)要求的所有措施，這就需要具備復(fù)雜的法律和技術(shù)知識(shí),，因?yàn)榕e證責(zé)任將由企業(yè)承擔(dān),。

　　此外，購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)可以在一定程度上減小安全攻擊事件對(duì)企業(yè)造成的負(fù)面經(jīng)濟(jì)影響,，并讓企業(yè)可以依賴事件響應(yīng)系統(tǒng)和保險(xiǎn)公司提供的專家顧問(wèn)服務(wù),。

　　遭到網(wǎng)絡(luò)攻擊時(shí)

　　董事會(huì)該如何做？

　　根據(jù)經(jīng)驗(yàn),，如果遭到重大網(wǎng)絡(luò)攻擊,，企業(yè)的首席執(zhí)行官、總經(jīng)理和董事會(huì)都應(yīng)該立即介入,，因?yàn)榫W(wǎng)絡(luò)攻擊給企業(yè)帶來(lái)的風(fēng)險(xiǎn)非常高,。

　　從董事會(huì)責(zé)任的角度來(lái)看，遭到網(wǎng)絡(luò)攻擊最糟糕的情況包括：

　　上述行動(dòng)已在董事會(huì)上討論過(guò),，但尚未采取任何行動(dòng),；

　　采取了風(fēng)險(xiǎn)分析措施，也發(fā)現(xiàn)了信息系統(tǒng)的薄弱環(huán)節(jié),，但企業(yè)沒(méi)有及時(shí)消除這些薄弱環(huán)節(jié),；

　　企業(yè)意識(shí)到了這些問(wèn)題，但并沒(méi)有支付費(fèi)用來(lái)購(gòu)買涵蓋網(wǎng)絡(luò)風(fēng)險(xiǎn)的保單,；

　　為此,，董事會(huì)將不得不做以下工作：

　　分析需要采取的糾正措施，盡量降低網(wǎng)絡(luò)攻擊的負(fù)面影響,；

　　評(píng)估攻擊造成的經(jīng)濟(jì)影響,，包括可能面臨的懲罰，是否需要通知股東,，并留出預(yù)算,；

　　決定是否應(yīng)該將事件上報(bào)主管部門，并告知數(shù)據(jù)被泄露的個(gè)人,。

　　遭到勒索軟件攻擊后,，通常需要與網(wǎng)絡(luò)犯罪分子進(jìn)行談判，以爭(zhēng)取時(shí)間,、降低贖金,，并獲得保險(xiǎn)企業(yè)的批準(zhǔn)。在大多數(shù)情況下,，企業(yè)會(huì)設(shè)法避免支付贖金,，因?yàn)椋?/p>

　　取決于所在地區(qū)以及威脅分子的身份，支付贖金可能是非法的,；

　　支付贖金并不能保證數(shù)據(jù)會(huì)被解密,，這還需要分析威脅分子的聲譽(yù)和以往表現(xiàn)；

　　這可能會(huì)造成企業(yè)聲譽(yù)受損,。

　　然而在數(shù)據(jù)備份副本都已加密并且無(wú)法恢復(fù)的情況下,，如果不違反當(dāng)?shù)胤ㄒ?guī)，企業(yè)可能需要考慮支付贖金,，此時(shí)需要考慮如何讓董事會(huì)批準(zhǔn)支付贖金,。

　　除了滿足監(jiān)管報(bào)告要求外，如何向公眾通報(bào)網(wǎng)絡(luò)攻擊事件也是很棘手的事情,。企業(yè)不能矢口否認(rèn)發(fā)生的一切,。黑客通常有自己的網(wǎng)站，還有一些網(wǎng)站專門披露相關(guān)的信息,。此外,，威脅分子很可能在暗網(wǎng)上公布泄露的數(shù)據(jù)，以提供泄露的證據(jù),。因此,，有必要確保公眾在從媒體獲悉網(wǎng)絡(luò)攻擊之前先從企業(yè)獲悉，那樣才能繼續(xù)獲得信任,。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<