(1)SEC對SolarWinds及其資安長提告駁回的一些要點
美國SolarWinds一案似乎是近期資安長方面重大的案例。這篇在2024年8月8日在JD Supra上所刊載的新進展,值得參考。
美國紐約南區地方法院駁回了Securities and Exchange Commission(SEC)對軟體公司SolarWinds及其資安長控告的許多訴求。
法院在7月18日的意見詳述了,為何只准許SEC提告裡的一部份可以繼續下去。SEC控告SolarWinds及其資安長提出了重大的誤導性聲明,並在公開揭露中忽略了公司資訊安全實務與風險。
本案代表SEC想要擴大其監管內部會計控制之權力,而且這是SEC第一次對資安長提告。
法院駁回的主張有:
*內部會計控制:法院拒絕SEC想根據1934年證交法第13(b)(2)(B)條,針對網路安全控制不足而無法維持適當內部會計控制,繼而向公司施以法律責任。法院判決是:SEC監管一間公司內部會計控制系統的權力,並不能擴大到公司網路安全控制,相對地,只限於公司財務會計控制。
*SEC的檔案與揭露:SEC以SolarWinds在事故發生時及其後所提交的檔案為由提出控告,被法院駁回。法院發現,SEC未能適當支持其證券舞弊或檔案不實的主張。
*公開聲明:法院也駁回SEC關於新聞稿、部落格與其他公開溝通方面的主張—將之歸類於「不可行的企業吹噓」,即缺乏足夠內容讓理性投資人可相信。
法院允許繼續訴訟程序的部分是:SolarWinds的「證券聲明」部分。此控告是主張,SolarWinds關於取得控制與密碼保護的聲明,對投資人有重大誤導。法院強調,有鑑於公司業務模式的重大性,正確的網路安全揭露十分重要。
以下幾點資安長和網路安全律師要注意的要點
SEC被駁回的控告,是一個全新的嘗試:
*要求資安長個人要為某些提交SEC的檔案,負起法律責任。
*根據National Institute of Standards and Technology (NIST)網路安全架構報告的自願性評分,是有基本責任的。
法院拒絕了這些主張,很明顯是資安長、資安專家一方的獲勝。法院意見否決了SEC要監管網路安全問題的權力。
值得注意的是,雖然SEC在這方面敗訴了,但是仍繼續下去的部分,突顯了準確、詳盡的網路安全揭露還是很重要的。公司應該要確保其公開聲明(行銷資料、ESG報告與其他處的)是真實的,且能反應內部實務作法,以避免潛在的訴訟並維持投資人信任。
公司也應該考慮重新檢視其現行實務作法,包括以下幾個領域:
*安全聲明。公司應對公開的安全聲明進行全面性回顧,確保準確性與一致性。在進行時,公司應該要在其安全聲明內提供準確且完整的資訊,並避免誇大網路安全措施之有效性。繼而,公司應該要考慮:對其網路安全聲明及內部網路安全措施進行定期與全面的評估,以確保此聲明反應當前實務的真實樣貌。
*有效的溝通。仍繼續下去的訴訟部分突顯了,內外的網路安全溝通需要清楚且正確。資安長、高階經理人及其他利害關係人之間的有效溝通很關鍵。高階經理人必須瞭解他們在網路安全方面的角色與責任。
*指引安全團隊。公司應該重新評估其對安全專家的訓練計畫,應該對網路安全挑戰之有效溝通加以訓練,並避免非正式、或誤導性的溝通。適當的指引可協助減少潛在的法律責任,並促進整體安全狀態。
資料來源:https://www.jdsupra.com/legalnews/takeaways-from-the-dismissal-of-sec-6350928/
(2)網路風險如何成為企業風險
這篇” How cyber-risks have become business risks ”是由Mark Bowen所寫、2024年 8月 2日在Intelligent CISO刊出的文章。以下分享一些要點。
或許對資安長最重要的是:藉由實際影響狀況評估網路風險。這要同時瞭解企業和科技。這可不是一件容易的工作,而且不只有科技因素。
這個評估需要瞭解組織價值鏈內的優先事項,並確保它們的安全。第二個挑戰就是走出組織,觀察外部會有什麼潛在影響的力量。在這些外部力量之中,作者認為是遵循架構。
這些新架構與規定是必要的。它們會保護人員、智慧財產權,而且能夠發明與創新。從這個觀點看,遵循標準是好的。不過,它們的需求每日都在增加。
這有高度雙重性—既好又複雜,給許多IT部門帶來了挑戰。他們必須問自己:我們如何將法律考量納入過去認為純粹是科技的戰場?這個方案要從公司最高層開始。
董事會應該要記住這個雙重性。當董事越瞭解網路風險及政府規定,狀況就會更好。考慮到歐盟的Digital Operations Resilience Act (DORA)以及金融系統。當然,這個心態及實務亦可通用於非金融領域,特別當風險是這些實務的核心部分時。今日,讓董事會準備好網路安全風險,比過去重要得多。
減少風險
在過去,韌性是一個技術的概念。今日,這是藉由可查核計畫所記錄的法律要求。我們已經從一系列的技術步驟進入了以契約服再造關鍵服務。
這些計畫是由以下四種考慮所支撐的:
*優先復原:這只能透過董事會及經營團隊定期交流建立。董事會的簽署在此非常重要。否則,誰願意把自己的活動視為不重要?然而,無論建立有多困難,這個令人著迷的工作會讓資安長及其團隊成為企業的核心。
*定義策略:評估產品、服務、人員配置及流程有正確的組合,這一點很重要。這個問題上是越少越好。在多年的累積下,網路事務主管已經慘痛地瞭解到,產品與供應商的整合(maelstrom)並不是非常有效率。安全的下一個時代會是透過整合,而非外加。
*提供選擇:這是提供資訊及一系列解決方案—最終由董事會做出決定。資安長部份的工作是,以一系列明文的步驟提出一些情境:比如投資1、時間表1、獲利1以及風險1。之後針對第二或第三個步驟提出建議。選擇流程要怎麼走,是董事會的工作。藉此,資安長在討論決定上會有執行權,而非指能在出事後成為被唯一指責的對象。
*高階領導層:資安長需要能直接向執行長報告,否則會陷於孤立狀況。不明確、或打了折扣的支持,後果是會讓資安長對工作不滿;讓公司生存陷入風險。在2024年以後,不把網路安全視為公司策略,是重大的治理錯誤。
網路安全不只是避免撞上冰山而已。它是一個整體性的方法—將所有積極、消極的安全面向整合成一個平台。全面性在此不是壟斷。技術、供應商、流程與數位轉型的幅度,都要予以簡化。
問題是:若不先投入100萬元,之後流失的可不只是1億元
資料來源:https://www.intelligentciso.com/2024/08/02/how-cyber-risks-have-become-business-risks/
(3)加拿大需要上萬名網路安全專家
2024年7月31日Vancouver is Awesome報導了這個加拿大網路安全人才缺口問題。
根據一份新報告,加拿大需要15.7萬名網路安全專家,以填補技能落差,而先前的調查已發現:有90%的加拿大組織一直感覺,由於缺乏此技能,故存在安全漏洞。
由加州網路安全公司Fortinet所做的研究發現,組織面對著前所未見的網路安全挑戰,這很大程度是因技能短缺,而嚴重影響企業。
Fortinet的4 Global Cybersecurity Skills Gap Report其他關鍵發現還有:
*組織越來越將漏洞是由於網路技能短缺;
*漏洞持續對企業有巨大影響,而當事故發生時高階主管常會被處罰;
*雇主持續高度認為—認證是目前網路安全技能與知識的證明;
*從多元人才庫聘僱以協助縮短技能短缺,仍有很多機會。
Glacier Media問Fortinet的安全策略長Derek Manky:這個狀況如何舒緩?「這是供需問題。」
他說,就跟多數網路安全一樣,很大程度取決於教育。他告訴Glacier Media說,現有員工需要被教育如何阻止即將到來的攻擊,而機構需要教育新員工如何進入所需的角色。
落差報告發現,全世界有70%的組織說技能短缺會為組織帶來額外的風險。其他的發現還包括高階經理人被罰款或解聘、巨大的營收損失與其他支出。
報告說,「因此,高階經理人與董事越來越重視網路安全,有72%受訪者說,他們的董事會在2023年比過去更關注安全問題。97%的受訪者說,他們的董事會視網路安全為企業優先事項。」
關於聘僱,該報告發現,具認證資格的網路安全工作候選人會脫穎而出,而企業主管相信,認證會會改善安全局勢。不過,報告也發現,要找到有認證的候選人並不容易。報告說,「超過70%的受訪者指出,難以找到具科技認證的候選人。」
(4)大多數Fortune 500公司沒準備好面對新的SEC網路法規,則,董事會應該怎麼辦?
這篇是由Michael Wong所寫、2024年1月8日PharmExec.com刊出的"With Most Fortune 500 Companies Unprepared for New SEC Cyber Regulations, What Should Their Board of Directors Do? A Q&A with Dr. Herb Lin, Senior Research Scholar for Cybersecurity at Stanford University"。主要內容是針對史丹佛大學資深研究學者Herb Lin博士的訪談。
Herb Lin博士是史丹佛大學國際安全與合作中心的網路政策與安全的資深學者,也是胡佛研究所網路政策與安全Hank J. Holland的研究員。2016年時,他曾服務於歐巴馬總統的強化國家網路安全委員會。他也是"Bytes, Bombs, and Spies-The Strategic Dimensions of Offensive Cyber Operations"一書的共同作者。他在麻省理工學院獲得物理學博士學位。
問:2022年,全球因資料外洩的平均成本為435萬美元,而這個數字在美國更是倍增,為944萬美元。雖然對於製藥業而言,這個數字可能是一個零頭,但有鑑於公開發行公司在資料外洩後會造成7.5%的股價下跌,還有市值損失54億美元,看來影響頗大。為何許多長字輩主管不願投入足夠的資源到這個痛點上呢?
Lin博士:老實說,大多數董事會並未具備相當的專業,能全面重視這些需求、以及需要投資什麼來處理持續出現的風險。比如,最近Spencer Stuart的U.S. Board Index指出,董事會整體來說缺乏科技專長,特別是S&P 500公司的董事會需要增加網路安全專家。在2021年新進入S&P 500公司的456位獨立董事裡,僅3.9%具備相關部門的領導經驗,比如網路安全、IT、軟體工程或資料與分析。
我們也看到極少數資安長能直接接觸董事會。Heidrick & Struggles的2022年全球資安長調查指出,在美國,僅14%的資安長說他們在董事會上有席次。
問:有鑑於在高階主管層可能競爭資源,讀者在2024年應考慮的實務選擇是什麼?
Lin博士:首先,認識到長字輩主管在組織內倡導創新時,也會增加網路安全風險。因此,執行長需要有堅毅的執行長來辨識網路安全風險及潛在的補救策略,這可能會拖慢公司的成長計畫。換言之,他們需要實現資訊安全,而非只是充當公司的資訊服務部門而已。
第二,就是因為處理網路安全風險可能會對營運計畫有負面影響,故資安長需要對公司業務有基本的掌握。常發生的的是:資安長被聘來當個「修復公司網路安全問題」的工具人,卻不具備任何營運策略知識,而這可能會影響網路安全風險。如果真要聽取他們的意見,則資安長必須認識營運目標及安全目標。
此外,他們必須能以董事會成員易於理解的方式,向他們報告風險及可能的解決方案;這不能太技術性。比如,資安長可能要參照現有的資料,比如「Fortune 1000公司有25%的機率會會外洩資料,以及有10%的公司可能面對到數百萬美元的損失。在小公司方面,有60%在遭遇嚴重的網路攻擊六個月後可能會倒閉。」
最後,為深入瞭解長字輩主管如何看待網路安全為營運策略重大面向,董事會可詢問一個簡單、卻重大的問題:長字輩主管有因網路安全考量而改變或目標、或修正營運策略嗎?如果答案為「否」,則很清楚地,長字輩主管並未將網路安全整合到營運計畫之內。展望未來,網路安全風險只會持續升高,而新的環境將需要資安長直接向長字輩主管報告。
沒有留言:
張貼留言