(1)新加坡董事會成員覺得應付網路攻擊最為準備不足
去年備受矚目的網路攻擊事件引發了新加坡董事會的關注,使得網路風險置於董事會議程的首位。但新的研究顯示出一個弔詭現象。儘管與全世界同業相比,新加坡董事會成員相信自己在網路安全有充足投資的比例要高得多,不過在處理攻擊準備方面的排名卻殿後。
Proofpoint的《網路安全:2023年董事會觀點》(Cybersecurity: The 2023 Board Perspective)報告發現,79%的新加坡董事相信其董事會把網路安全視為優先事項,較全球73%高。此外,有86%覺得他們已有充足的網路安全投資,明顯高於70%的全球平均值。
儘管他們投入了時間與資源,相較於其他國家,新加坡董事會成員覺得在應付針對性攻擊方面的準備最差:81%認為組織沒有準備,而全球則為53%。再者,今年的報告也發現,相信自己組織處於重大網路攻擊風險的新加坡董事人數顯著增加(89%對去年的66%)。
與去年同期相比的變動顯示,意識與注資並未轉化為網路準備。不斷變化威脅的局勢可能是脫節的原因之一,特別是由於網路釣魚攻擊數量增長。2022年,新加坡網路緊急應變團隊(Singapore Cyber Emergency Response Team)收到了8500起企圖網路釣魚的報告,是2021年數量的兩倍多。
備受矚目的網路攻擊已經襲擊了我們的家,也帶來董事會相當不安。以新加坡電信(Singapore Telecommunications)子公司Optus為例,因外洩曝光了1000萬澳洲人的資料,為該國40%的人口。最近,受Optus影響的10萬名消費者提起集體訴訟,說明了這類事件潛在的長期影響。
包括生成式人工智慧(AI)在內的新興威脅也加劇了董事會所面對的挑戰。在新加坡,78%的董事會成員將 ChatGPT等生成式AI工具視為安全風險。
組織正開始探索此類新技術的影響,因為越來越明顯的是威脅者可透過多種方式遂行其邪惡目的。針對性的電子郵件詐騙是一個大問題,因為這些AI工具可用多種語言發送令人更為採信的網路釣魚電郵。支援AI的深偽技術也持續進步,提高了冒充長字輩主管進行網路犯罪的風險(比如帳戶接管或詐欺)。隨著生成式AI工具被更廣泛運用,網路罪犯企圖從開源的生成式AI牟利時,威脅的情勢將發生巨大轉變。
好消息是幾乎所有新加坡董事(97%)期待看到其網路安全預算在未來12個月內增加。但他們是否投資於正確的防禦準備?為弭平網路安全投資及組織準備之間的脫節,董事會需要專注於產生最大影響的領域。然而他們有限的專業知識阻礙其做出有效的網路風險決策。
提高及擴大董事會的網路安全知識是適當網路安全資源投資的第一步。由於每個組織都不一樣,董事會成員必須瞭解其組織的獨特挑戰以及必須解決的特定威脅。
推動更有成效的對話
董事無法單獨改善其網路安全狀況;他們需要與資安長(CISO)組成策略聯盟。但這並不容易。受訪的新加坡董事只有59%說,他們會與資安長定期互動。雖然比起去年的37%有很大進步,但仍然意味著近半的董事會與其安全主管缺乏牢固關係。。
即使董事會定期與安全主管溝通,兩方也未必說同樣的語言。資安長把網路風險轉化為事業風險做得越來越好,但落差尚大。若資安長以資訊科技為主的觀點與董事會成員討論風險,董事會或許對於自身的知識足以提出更好問題會感到不安,因為這些資訊可能過於技術性。
董事們不能把縮短落差的任務丟給資安長—他們必須主動加速網路安全事務之進展。然而這個過程將有一個陡峭的學習曲線,確保他們做出有效的決策是必要的。教育將使得他們能夠提出正中紅心而非制式問題,並推動他們的資安長進行更有成效的對話。
當董事會尋求提升其專業知識時,應避免「一體適用」的方法。任何教育計畫需要反應組織的營運模式、目標、風險概況及風險胃納。隨著威脅情勢不斷演進、風險環境愈發複雜以及企業優先事項發生變化,這一點特別重要。
雖然更多預算與附加的網路資源是他們的三大願望,這是可以理解的,董事會成員首先需要確保他們對既有的資源與資金有適當的分配。更好的教育與資安長有更牢固的關係會讓董事會成員有信心,為保護組織、人與資料,他們正朝著正確方向前進。
(2)你的董事會對網路做好準備了嗎?支持公司網路安全的幾個領導步驟
在JD Surpa上,2023年10月11日刊載了由Jason Gavejian、Trisana Spence、Alison Jacobs Wice合寫的"Is Your Board Cyber-Ready? Leadership Steps to Support Corporate Cybersecurity"。
2023年9月,美國SEC對公開發行公司的新規範Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure生效。此規範不僅要求公開發行公司要要在網路入侵事件4日內報導,還求對以下的重大資訊作年度性的揭露:網路安全風險管理、策略,以及治理;以及定期揭露公司如何評估、辨識及管理重大網路安全風險,管理階層在評估與管理重大網路風險上的角色,以及董事會如何監督網路安全風險。
須遵循SEC規範的公開發行公司最佳實務,也對私有公司管理網路安全風險提出了一些建議。SEC此規範的關鍵要素凸顯了:透過強大的董事會實務及議合,來預防、引導及回應網路威脅的行動事項。包括:
*視網路安全風險為需要向董事會揭露的事項;
*確保董事會瞭解:他們有監督組織網路安全計畫之責;
*在網路風險方面提供董事會「有助於決策」的資訊;
*提供領導人必要的訓練,以利其向董事會報告實際與潛在的網路安全事故和風險;
*制定一個董事會的網路安全漏洞回應計畫;
*進行網路安全漏洞計畫的壓力測試,而且董事會要參與;
*領導人與董事會都應該與組織的IT/資料治理團隊議合,以確保遵守最佳實務,包括確保員工在網路安全風險上有受訓練。
資料來源:https://www.jdsupra.com/legalnews/is-your-board-cyber-ready-leadership-6040648/
(3)網路安全就是一場軍備競賽:PwC調查指出董事會在網路安全方面仍有挑戰
PwC對645位董事做的一份調查發現,近半(49%)仍視網路安全為一個挑戰。
整體來看,調查發現有近四分之三(64%)的董事會議程提高了網路安全方面的時間,有46%說他們會花時間研究網路安全議題。超過三分之一(38%)會向第三方專家諮詢。也有超過三分之一(35%)也會提高與資安長討論的次數。
87%說經營團隊在網路安全上所提供的會前資料及報告是有效的。然而,僅半數會檢視:事故準備計畫的測試結果(56%)、網路安全計畫成熟度評估(53%),或第三方風險評估(50%)。
PwC的Cyber & Privacy Innovation Institute的負責人Matt Gorham說,董事會成員應要求公司盡可能簡化其IT環境,讓他們易於受到保護。還有,董事會應審視所用的相關工具,確保能因應網路犯罪者最新的伎倆及技術。這件事特別重要,因為隨著人工智慧的快速發展,對犯罪者與防禦者在不同程度上都有利。因此,實際上網路安全現在就是一場軍備競賽。
美國SEC雖然沒有要董事為網路安全負起個人責任,但很清楚的,拜登政府正在制定相關規範以提高網路安全。因此,董事會會被要求評估這些規範對股東利益的影響。
當然,不可能每個董事都是網路安全專家,但應該至少要有一位董事能對公司的安全實務提出有洞察性的評估。網路安全常被視為需抑制的成本,而非用來提升業務。也有很自然的傾向是,高估了新業務機會的效益,同時低估了可能的網路安全風險。
沒有留言:
張貼留言