(1)網路安全的董事與主管責任:給董事會和管理階層的實務步驟
這篇是由Molly Reynolds與Julie Himo合著、2024年5月30日刊載於Torys網站的"Director and officer liability for cybersecurity: practical steps for boards and management"。以下來分享一些要點。
股東、監理機關與其他利害關係人,對董事會與管理階層如何減緩網路安全風險,期待是越來越高了,並同樣反映到治理D&O法律責任的判例法上。本文就是作者要討論判例法之發展,並就董事與主管如何確保組織履行其遵循義務,提供最佳實務。
二月時,Google與美國股東的集體訴訟提議和解,案件是與3.5億美元網路漏洞有關—此案是網路相關安全方面史上最高的和解金。
此和解是因為2015至2018年間的網路漏洞,公司讓第三方發展商在用戶未知的狀況下「可能」取得Google+的檔案資訊,包括名稱、住址、興趣或其他個資。雖然Google內部法務顧問表示過,此問題可能會引發監理注意,但漏洞並未達到公司內部揭露門檻。因此管理階層決定不揭露此「隱私問題」,而後續持續的揭露說,風險因素沒有重大改變。
在隱私問題公開後,多起訴訟案就隨之而來。股東因其股價損失而向被告母公司Alphabet及幾位主管、董事索賠。在近六年的訴訟後,各方提議以3.5億美元的金額達成和解。
另外一件就是SolarWinds在2020年的重大網路安全事故,此影響到數千名公司與政府客戶。據傳SolarWinds早在2019年,就知道造成2020年網路攻擊的系統漏洞,但是早先的揭露是誤導的。SolarWinds在2022年以2600萬美元對集體訴訟達成和解。
在2023年,SEC以詐欺、控制不足、揭露不完全為由向SolarWinds索賠,並指出資安長在內部並未提高對風險之重視。在其他救濟管道上,SEC禁止該執行長再擔任其他公司的董事或主管。
最近一些重大案例,展現了過去五年間美國的決定,此決定展現了董事與主管對網路安全風險之監督,而且為加拿大後續集體訴訟奠下了基礎。
*有兩起顯然網路安全風險監督不足的案件(比如定期報導流程與適當的安全措施),德拉瓦衡平法院允許對董事提出集體訴訟。
*在Drieu v Zoom案裡,Zoom的股東控告公司與兩名主管—他們隱瞞網路安全漏洞之資訊。
*在Laboratory Corporation of America Holdings v Berberian案裡,董事與主管被控忽視其受託義務,未能預防資料外洩,包括第三方服務供應商對公司的違規行為。
以下,作者列舉出了減少網路安全的建議,協助公司履行其監督功能:
*全面記錄與年度審視公司網路風險評估與減緩流程,考慮管理階層之角色(比如主管及管理委員會要負責什麼事務)、董事會對此流程之監督,以及網路風險架構如何與公司整體風險及第三方風險架構互通。
*確定個人與委員會對網路策略監督之責任,包括對漏洞和網路安全資源之內部報導,以及觀察產業趨勢和監理改革。若董事會對網路安全沒有常設的委員會,那就準備設置一個臨時委員會,來管理重大網路事故,作法有準備職權範圍、確定會被視為資源的董事、管理階層和外部顧問,以及討論有助於委員會建立之因素。
*尋求內部回饋意見、專家建議與比較基準,以評估公司是否有配置足夠的資源供網路安全評估、威脅監控與公司風險概況之強化。
*主管應該坦誠地向董事會報告網路漏洞、弱點以及減少策略,縱使這些未達重大性門檻、或者是因為員工錯誤而來。
*董事對網路風險應具備適當訓練,以有效審視:管理階層對風險局勢之報告,是否是最新的、並對公司及所處產業是否夠具體。公司如何追蹤個別的網路安全事件,以辨識系統風險、或將各事件整合成重大風險呢?
*審視保險責任的範圍與量,以確保D&O與網路政策能適當處理事故回應、訴訟與監理程序的成本。董事會或許會從額外的教育獲益—關於管理階層如何決定網路保險是適當的,而管理階層應該考慮每年向董事會更新:他們如何評估適當的保險、承保哪些風險和費用,以及有哪些外部顧問(比如保險經紀人)與網路事件可支持此評估。
(2)高階經理人的網路安全責任:持續升高的趨勢
這篇是2024年7月25日在Security Boulevard網站上發表的文章"Executive Cybersecurity Accountability: A Rising Trend?"。的確董事與高階主管的責任越來越重了,這也是一塊領域。
安全失靈或網路入侵,典型上責任落在安全團隊或特定IT主管,而非高階經理人或董事會。長期以來狀況是這樣的:網路風險常被孤立為技術問題,而非整合到更廣的營運風險管理架構。然而,這個歷史趨勢最近大幅轉向,因為像微軟之類的大公司,都朝向要高階經理人負擔更重的網路安全責任。
微軟在2024年五月於其Secure Future主張中表示,高階領導團隊在達成安全計畫和階段目標之狀況,會成為其薪酬的一部份。此主張旨在讓安全成為微軟最重要的優先事項。
在歐洲,一個有趣的發展也呼應了這個趨勢,而且再向前邁進一步。歐盟在2024年十月實施的NIS 2指令,也提高了高階經理人網路安全責任。不過差別是,歐盟的監理權力要求組織的管理階層和經理人,若有招致嚴重網路事故的重大疏忽,需負起個人的法律責任。處罰措施包括暫時禁止擔任董事或罰款。
朝向增加高階經理人網路安全責任之趨勢,不僅是針對誰負責網路風險管理,也包括公司如何處理其安全計畫。此轉變有可能轉變安全的實務作法。
*讓安全與企業目標一致:當高階經理人參與網路安全更多時,安全策略就更可能會符合更廣的企業目標。這可能會帶動優先投資安全技術與實務作法,保護最重要的資產面於威脅。
*提高預算配置:隨著高階經理人直接對網路安全負責,對資安長與IT團隊而言,很清楚要確保必要的預算。高階經理人瞭解所其涉及利害關係、以及不認真以待之後果,更有可能核准反映健全網路安全真實成本的預算。
*積極的安全態勢:高階經理人之參與可讓網路安全從被動轉為主動。隨著更多資源與策略規劃,安全團隊可關注於進階威脅偵測/回應,以及持續的安全訓練計畫,藉此協助預防研究的網路漏洞。
*更佳的危機管理:高階經理人監督與當責性,可帶來更好的準備、更結構化的危機管理。公司最高層有快速且正確回應的能力,在減少網路事故的負面傷害上,會發揮很大的作用。
*文化上朝向安全意識轉變:當領導人承擔網路安全不足的後果時,可促進推動更廣的安全意識文化。此文化上的轉變,有助於減少人為錯誤的機會—這可是安全事故的主因。
除了前述增加的高階經理人網路安全責任,還有某些挑戰要考慮。其中一項是,這些改變很大程度仰賴於高階經理人多瞭解網路安全問題。若缺乏適當的知識及承諾,高階經理人的參與就無法轉化為更加的安全。事實上,NIS 2認知到這個挑戰,命令經理人要進行足夠的進修,以「獲得充分的知識及技能,以辨識出風險,還有評估網路風險管理實務及其對所提供服務之影響。」
資料來源:https://securityboulevard.com/2024/07/executive-cybersecurity-accountability-a-rising-trend/
沒有留言:
張貼留言