ESG是當前全球企業共同面對的重大議題;分別代表環境、社會及公司治理,然而隨著代的變遷,ESG三者彼此之間愈來愈難以區隔,許多議題不只局限在ESG中的某一項範疇。
另一方面企業遭受網路攻擊事件層出不窮,資安威脅不斷升高,使得資安治理(cybersecurity governance)成為董事會的重要課題。
從G,所謂的”治理”層面來談資安問題;美國聯邦金融機構審議委員會(Federal Financial Institute of Exam Counsel, FFIEC)及美國全國企業董監事協會(National Association of Corporate Directors, NACD)皆指出資安議題並非 IT 議題,而是董監事層級議題。
從S,所謂的”社會”層面來談資安問題,有以下幾項值得關注:
一、對消費者的責任;
直接相關的就是企業應保護客戶的個資,客戶個資外洩絕對是重大的資安事件,因此企業是否制定明確且不低於法令規範要求的隱私政策(privacy policy),同時確保遵守其公告之隱私政策;其次應確實暸解何人掌有哪些管制數據,且有明確數據保留與銷毁的流程規定。
二、勞工準則
如何公平對待勞工,除了安全的工作環境更擴展至勞工 隱私,例如歐盟的「一般資料保護規範」(General Data Protection Regulation, GDPR除了歐盟施行GDPR,台灣也於2010年通過《個人資料保護法》。
時至今日,資安威脅、網路安全事件,已經把“S”,所謂社會層面從個資洩、隱私保護提升到另一個境界了!
2020年美國全國企業董監事協會NACD與網路安全聯盟(Internet Security Alliance, ISA)于2020年與世界經濟論壇(World EconomicForum, WEF)共同制定「2020網路風險督導手册」(Cyber-Risk Oversight 2020-Key Principles and Practical Guidance for Corporate Board),提出了五大原則分別如下:
一、董事應將網路安全定位為戰略性企業風險,而不僅僅是IT風險。
二、應了解與公司有具體影響的相關網路風險之法令規定與含義。
三、董事應擁有足夠的網絡安全專業知識,並在董事會議程中定期且充分的討論網路風險管理。
四、董事應期望管理階層應建立網路風險管理框架、報告架構,且具有足夠之人員配置和預算。
五、管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identification and Quantification),以及接受、減輕或轉移哪些風險的個別方法,及每一個別方法具體計劃(例如藉由保險安排)。
今年NACD公布的「2023網路風險督導手冊」(Director’s Handbook on Cyber-risk Oversight)新增為六大原則,第四版保留了之前的董事會監督網路安全的五項核心原則,並依據不斷變化的網路威脅態勢更新指南中的內容,最值得注意的變動是擴增第六項原則如下:
六、「董事會應鼓勵與同業及和政府共同合作以增強系統性復原力。」
2017年,NotPetya 惡意攻擊烏克蘭,駭客將一個極具破壞性的軟體,藏在烏克蘭國內使用廣泛的會計軟體更新檔裡,最後導致感染的系统蔓延擴散到全世界,導致全球航運癱瘓,最終造成建築業、個人護理到消費食品等許多行業總計超過100 億美元的損失。
2020年,藉由入侵美的基礎設施供應商 SolarWinds安裝的更新程序,病毒被上傳到包括國防部在内的大部分美國聯邦政府、美國Fortune 500中的425家公司,以及全球無數的客户。
這類的網路攻擊事件,不同於傳統的網路攻擊,應該視為一種「系統性網路攻擊」(systematic cyberattacks),雖然目前較為少見,然而隨著5G、移動通訊、雲計算、AI等新興技術的發展,將增加系統性網路攻擊事件發生的可能性及造成的巨大影響。
為了因應系統性網路攻擊事件,有效的網路安全風險管理不僅需要打破組織内部的 “孤島”(silos),同時要打破組織、執法部門、監管機構和社區同業之間存在的訊息共享障礙,才能實現真正有效的系統性網路復原力。
資安治理過去與“S”「社會」相關 聚焦於個資保護與隱私安全,然而隨著新興科技的蓬勃發展,例如移動裝置、雲計算、人工智能、IO T整合,加上漫長的國際供應鏈使得組織安全受到極大的威脅,然而企業在競爭激烈的環境中仍然必須確保獲利與營收成長,使得資安治理不能僅限於公司內部而必須擴大到網路生態系統(cyber ecosystem),這樣的轉變對董事會帶來挑戰, 意謂企業將承擔更大的社會責任,唯有跨出公司本位思維與同業、整體產業甚至國家相關部門共同攜手合作,尤其面對與日俱增的「系統性網路攻擊」,方能確保整體社會安全及國家安全。