網絡攻擊風險正在持續(xù)增大,，企業(yè)有必要考慮,，如果遭到網絡攻擊,，公司的董事會是否需要為未采取有效防護措施,，降低網絡安全風險而承擔責任,。本文旨在為組織的董事會成員提供一些建議,，理清企業(yè)在網絡攻擊之前、期間和之后應采取的行動,。

　　網絡攻擊損失不容小覷

　　據(jù)研究數(shù)據(jù)顯示,，2022年數(shù)據(jù)泄露給企業(yè)造成的平均損失為435萬美元；如果是勒索軟件攻擊,，損失將增加到454萬美元,。當然這只是估計，在某些國家或地區(qū)平均損失更高,，比如在美國,，損失接近1000萬美元。

　　此外,，網絡攻擊對組織業(yè)務運營造成的后果不僅是危及客戶和員工的個人數(shù)據(jù)這一個維度,。計算機系統(tǒng)被攻擊者加密還會使業(yè)務運行陷于停頓，一方面是由于攻擊通常發(fā)生在企業(yè)響應準備最不充分的時候,，比如圣誕節(jié),、夏天旺季和周末，如果加密的數(shù)據(jù)無法恢復,，生產線,、商店、電子商務網站及所有業(yè)務運營統(tǒng)統(tǒng)陷入停頓,。同時,，企業(yè)還將面臨懲罰和罰款的風險，因為不僅要遵守隱私和數(shù)據(jù)保護法律,，還要遵守如今各種網絡安全法規(guī),。

　　董事會的義務和責任

　　鑒于網絡攻擊會給企業(yè)造成極大的損失，企業(yè)董事會（尤其是上市企業(yè)）必須監(jiān)督企業(yè)為防止網絡攻擊采取行動,，并在攻擊發(fā)生后能迅速采取糾正措施,。但遺憾的是，只有少數(shù)企業(yè)做到,。這不僅僅是建議部署安全措施的問題,，因為95%的網絡攻擊是人為錯誤造成的,，需要加強每個員工的安全意識教育。

　　日常的網絡風險分析也是安全培訓工作和組織控制流程審查的重要組成部分,。不可能完全排除網絡攻擊的風險,，因為網絡犯罪分子總是比受害者搶先一步。企業(yè)必須能夠通過網絡安全合規(guī)計劃證明已經采取了隱私和網絡安全法規(guī)要求的所有措施,，這就需要具備復雜的法律和技術知識,，因為舉證責任將由企業(yè)承擔。

　　此外,，購買網絡安全保險可以在一定程度上減小安全攻擊事件對企業(yè)造成的負面經濟影響,，并讓企業(yè)可以依賴事件響應系統(tǒng)和保險公司提供的專家顧問服務。

　　遭到網絡攻擊時

　　董事會該如何做,？

　　根據(jù)經驗,，如果遭到重大網絡攻擊，企業(yè)的首席執(zhí)行官,、總經理和董事會都應該立即介入,，因為網絡攻擊給企業(yè)帶來的風險非常高。

　　從董事會責任的角度來看,，遭到網絡攻擊最糟糕的情況包括：

　　上述行動已在董事會上討論過,，但尚未采取任何行動,；

　　采取了風險分析措施,，也發(fā)現(xiàn)了信息系統(tǒng)的薄弱環(huán)節(jié)，但企業(yè)沒有及時消除這些薄弱環(huán)節(jié),；

　　企業(yè)意識到了這些問題,，但并沒有支付費用來購買涵蓋網絡風險的保單；

　　為此,，董事會將不得不做以下工作：

　　分析需要采取的糾正措施,，盡量降低網絡攻擊的負面影響；

　　評估攻擊造成的經濟影響,，包括可能面臨的懲罰,，是否需要通知股東，并留出預算,；

　　決定是否應該將事件上報主管部門,，并告知數(shù)據(jù)被泄露的個人。

　　遭到勒索軟件攻擊后,，通常需要與網絡犯罪分子進行談判,，以爭取時間、降低贖金,，并獲得保險企業(yè)的批準,。在大多數(shù)情況下,，企業(yè)會設法避免支付贖金，因為：

　　取決于所在地區(qū)以及威脅分子的身份,，支付贖金可能是非法的,；

　　支付贖金并不能保證數(shù)據(jù)會被解密，這還需要分析威脅分子的聲譽和以往表現(xiàn),；

　　這可能會造成企業(yè)聲譽受損,。

　　然而在數(shù)據(jù)備份副本都已加密并且無法恢復的情況下，如果不違反當?shù)胤ㄒ?guī),，企業(yè)可能需要考慮支付贖金,，此時需要考慮如何讓董事會批準支付贖金。

　　除了滿足監(jiān)管報告要求外,，如何向公眾通報網絡攻擊事件也是很棘手的事情,。企業(yè)不能矢口否認發(fā)生的一切。黑客通常有自己的網站,，還有一些網站專門披露相關的信息,。此外，威脅分子很可能在暗網上公布泄露的數(shù)據(jù),，以提供泄露的證據(jù),。因此，有必要確保公眾在從媒體獲悉網絡攻擊之前先從企業(yè)獲悉,，那樣才能繼續(xù)獲得信任,。

更多信息可以來這里獲取==>>電子技術應用-AET<<