這篇“ What Companies Can Do To Protect Against Cyberattacks … and the Litigation That Often Follows“是由Claire Atwood、Jenness Parker、William Ridgway、Joshua Silverstein、David Simon合著,JD Supra在2024年 11月 22日刊出的文章,為網路安全和訴訟之間的交會點。值得參考。
關鍵要點
*公司應嚴格的評估網絡安全防禦的強度,並包括第三方的漏洞,以因應持續演變的威脅。
*近期監理對網絡安全的期待有所改變,強調董事會需要監督此類潛在的風險。
*許多董事會現在重新考量,是否以及如何將網絡安全監督職責指派給某個董事會功能性委員會。
*一個設計完善的網絡安全風險管理架構,可以協助公司與董事在遭受攻擊後,將所要面臨的法律風險降到最低。落實即時報導、向上呈報,完整記錄董事會監督網絡安全問題的政策和程序,公司將更有能力因應攻擊後的訴訟挑戰。
由於加速推展數位化、廣泛使用雲端運算、先進連結和人工智慧(AI),網絡威脅持續增加,這要求所有產業的董事會更關注對網絡風險的監督。
同時,美國證券交易委員會(Securities and Exchange Commission,SEC)現在要求公開發行公司揭露關於董事會對網絡安全風險管理監督的資訊,並明確指出由哪個功能性委員會或子委員會負責。
這些發展正促使許多董事會重新檢視公司的網絡安全流程及監督機制。最近在2024年七月因電腦故障而對CrowdStrike提起的證券和衍生品訴訟,顯現了越來越多的股東訴訟追隨於網絡事件發生之後。
一般來說,一個設計良好的網絡安全風險管理的治理架構,會讓公司在遭受攻擊時,將法律風險降到最低。董事會對網絡安全的正式監督角色的文件紀錄,以及董事會在落實和監控網絡安全控制方面的詳細紀錄,可能有助於作為對董事會未履行其職責指控的辯護。
以下是從許多公司在網絡安全治理方面所做的改變,以及法院近期的判決中所汲取的經驗教訓。
重新檢視與完善治理
隨著公司風險的變化與監理架構的發展,公司治理也需隨之調整,我們看到很多董事會檢視其監督網絡安全的方法。某些公司正在修訂董事會委員會的章程,專門將網絡安全問題的監督指派給某特定的委員會,或者在原先已有指定的情況下再重新指派,以反應此潛在風險日益升高的重要性。
雖然根據SEC的規定,並沒有明確要求進行這樣的檢討,但揭露網路安全治理實務的相關要求,已促使許多董事會重新思考他們的文件檔案,以及管理此領域風險的方法。
對此沒有一體適用的方法。重要的是,要深思熟慮哪個組織單位有時間定期評估這些問題,並能夠對此挑戰貢獻相關專業知識。此責任或許會交給審計委員會,因為該委員會通常監督各種控制措施,包括對法律和監理的一般遵循要求。
但是,當網絡安全問題對公司業務至關重要時,一些公司會設立技術委員會,而不是讓審計委員會承擔更多的工作,因為審計委員會基本上已經負擔繁重。此技術委員會通常會專門監督所有公司技術上的策略、績效及遵循,如此該委員會能做出網絡安全治理的決策,以及因應其他技術問題相關的新興挑戰,例如部署人工智慧。
其他公司則設有風險委員會專門辨識、評估與降低包括網絡安全風險在內的各類風險。簡言之,董事會如何架構其網絡安全監督有很多種方法,但最終決定由哪個組織或單位來負責,是董事會需要承擔的責任。
重新回顧監督職責
德拉瓦州的法律要求董事要實施與監控業務風險的監督流程。這不涉及日常的管理責任,而是期待董事會透過既有的流程監督管理階層,並合理的依賴高階主管和顧問具誠信基礎所提供的資訊。
實務上,每間公司履行其監督責任的方法不一,但應該包含幾個關鍵網絡安全風險領域。
首先,供應鏈風險及「影子IT」日益擴大的世界裡,董事會應該監督公司流程以追蹤技術資產和瞭解相關的威脅。例如可以透過資產映射作業來達成,即公司評估各式IT裝置和網絡的位置與交互連結狀況,來瞭解其IT系統所依賴的內容,以及最重要的是什麼。董事會希望確認管理階層可以意識到任何的技術盲點,例如未被管理的IT資產,以及公司如何因應這些潛在盲點。
其次,監理機關越來越期待公司要採取明確的角色和責任劃分,來管理網絡安全與IT治理。指揮鏈與權限應該要清晰,而且最終應該向上呈報到董事會。
第三,董事會需要瞭解公司的IT系統對其他公司或特殊技術的依賴程度。最近幾起案例突顯了,攻擊軟體供應鏈的連鎖效應,會遠遠超出了一開始的攻擊範圍。在某些產業裡,例如金融業,監理機關期待董事會要針對IT依賴性收到摘要或完整報告,以協助指出關鍵系統或第三方服務商。
若在公司治理程序未顧及這三個層面,則高階主管和董事針對網絡安全監督的品質和充足性,就會面臨質疑。
在監督的背景下,唯有當董事「惡意」行事時才會違反職責,並可能因為以下原因:
*董事會「完全未能實施任何報告或資訊系統或控制措施」(第一層面)或
*「在實施一個系統或控制措施…但董事會刻意未監控或監督其運作,以致於無法得知需要他們注意的風險或問題。」(第二層面)
僅僅遭遇網絡攻擊不能證明董事會的惡意。德拉瓦州法院承認,「董事善意履行其監督,未必能夠預防員工違反刑法,或阻止公司承擔重大的財務責任,或兩者都有。相反的,法律問題在於董事會是否基於誠信,努力建立一個合理的董事會層級系統。」
某些股東提出的訴訟,在股東提出詳細指控董事未能建立委員會或其他系統來監督某些風險,所以未能履行其監督責任,因而違反其誠信原則,從而使股東所提的訴訟動議未被駁回。這些風險可能包括對公司「使命關鍵」的風險,因此違反了測試的第一個層面。這個原則適用於業務特別依賴可能遭受駭客或其他網絡攻擊的系統的公司。
即使存在董事會應該要採取行動的「紅旗」警告,原告仍必須證明,董事會是「刻意忽略或未處理問題」。而且並非每個潛在問題的徵兆都是值得董事會層級反應的「紅旗」。
監督、網絡安全與衍生訴訟
法律架構如何適用於董事會的網絡安全監督受到挑戰的訴訟?
到現在為止,在德拉瓦州沒有任何網絡安全監督的提告通過駁回動議。在最近兩起的衍生訴訟中,因涉及重大的網絡安全漏洞,對董事的指控,都在證據開示(discovery)前的訴狀(pleadings)階段就被駁回了。
這些判決為董事會提供了教訓,協助衡量如何以最佳的方式監督流程,而將攻擊風險降到最低,以及確保遭到起訴時具備有力的辯護。
飯店經營商萬豪國際(Marriott International)就是一個例子,而軟體公司SolarWinds則是另一例。相關判決承認「網絡安全越來越重要」。但在這兩案裡,董事在聲請駁回動議中獲勝,部分是因為董事會已經採取善意努力來監控網絡風險,而且留下紀錄來證明這件事。判決顯示,紀錄完整的監督活動,或許在進入證據開示之前,可以對辯護有所幫助,縱使法院或許會批評董事會在監控此風險方面的表現,如同SolarWinds一案就是這樣。
網絡安全監督注意事項
基於這些案例和董事會對於網絡安全監督責任的討論,以下針對董事在重新檢視其網絡安全防禦與監督機制,提供一些指引:
*考慮將網路安全與資料隱私監督授權給董事會委員會,並檢視委員會章程以考慮加入具體的網絡安全內容。
*採取措施建立網絡安全問題的監控和遵循系統,並持續對此關注。這可能包括諮詢法律顧問及其他專家,以辨識風險可能從哪裡來,以及如何最佳地監控。
*董事應依照公司實際的需求頻率,定期從管理階層收取關於內外部網絡安全事件的報告。
*與管理階層和顧問協調,確保遵循新的網絡風險揭露規則與法規。
*鑒於股東越來越頻繁要求檢查公司帳冊與紀錄作為訴訟的前奏,董事會應該詳細記錄其努力和流程,展現他們對風險與遵循系統的瞭解和監督、以及對任何已出現的網絡安全問題的應對。
資料來源:https://www.jdsupra.com/legalnews/what-companies-can-do-to-protect-7085974/
沒有留言:
張貼留言