信息化觀察網(wǎng)

全球風(fēng)險管理專業(yè)人士協(xié)會（GARP）致力于為風(fēng)險管理?xiàng)l線上的各級人員，包括各大金融機(jī)構(gòu)的風(fēng)險從業(yè)者和監(jiān)管機(jī)構(gòu)人員提供風(fēng)險教育和最新行業(yè)資訊。GARP China微信公眾號將持續(xù)轉(zhuǎn)載“GARP Risk Intelligence”系列文章，介紹科技、企業(yè)文化與治理、能源等領(lǐng)域?qū)Σ僮黠L(fēng)險、信用風(fēng)險、市場風(fēng)險和資產(chǎn)負(fù)債管理的影響。讓我們一起全面認(rèn)識風(fēng)險，防范風(fēng)險，化解風(fēng)險。

網(wǎng)絡(luò)安全和數(shù)據(jù)隱私泄露正在造成巨大的經(jīng)濟(jì)和聲譽(yù)損害，這是目前許多企業(yè)面臨的問題，而這個問題須由高管和董事會妥善解決。針對網(wǎng)絡(luò)問題，監(jiān)管格局發(fā)生了怎樣的變化？銀行可以采取哪些步驟來改善它們的網(wǎng)絡(luò)風(fēng)險防御以及建立更多的網(wǎng)絡(luò)安全文化意識？

每一年，網(wǎng)絡(luò)犯罪都變得更快、更容易、成本更低，使得各種公司——包括銀行——比以往任何時候都更容易受到攻擊。到2021年，網(wǎng)絡(luò)犯罪造成的損失預(yù)計將達(dá)到每年6萬億美元。為了阻止這樣的攻擊，銀行在網(wǎng)絡(luò)安全上花費(fèi)了數(shù)千億美元，監(jiān)管機(jī)構(gòu)也理所當(dāng)然地加大了力度。

在美國，聯(lián)邦監(jiān)管機(jī)構(gòu)大幅提高了與網(wǎng)絡(luò)安全和數(shù)據(jù)隱私相關(guān)的處罰。在過去的幾年中，許多監(jiān)管機(jī)構(gòu)——如聯(lián)邦貿(mào)易委員會、聯(lián)邦通信委員會、證券交易委員會(SEC)和衛(wèi)生與公眾服務(wù)部——已經(jīng)開出了2500萬美元到50億美元不等的罰款。

不斷變化的監(jiān)管格局與經(jīng)濟(jì)和技術(shù)變革不謀而合，經(jīng)濟(jì)和技術(shù)變革正在幫助新的網(wǎng)絡(luò)安全意識在全球所有行業(yè)的董事會和高管層中扎根。今天的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)必須從最高層開始——包括董事會、企業(yè)風(fēng)險主管和首席執(zhí)行官。

實(shí)際上，董事會成員現(xiàn)有的監(jiān)管義務(wù)包括了解公司的網(wǎng)絡(luò)風(fēng)險，并采取積極措施緩解這些風(fēng)險。此外，管理層和董事會必須定期進(jìn)行財務(wù)評估，并提前向股東披露所有潛在的網(wǎng)絡(luò)風(fēng)險。

雖然這一現(xiàn)實(shí)給首席執(zhí)行官和其他高管帶來了新的壓力，但它也為那些建立網(wǎng)絡(luò)風(fēng)險意識文化的公司提供了機(jī)會，使自己有別于競爭對手，并獲得競爭優(yōu)勢。這代表著與過去的不同，過去首席執(zhí)行官們在所有與網(wǎng)絡(luò)安全相關(guān)的事情上都依賴CTO、CIO或CISO。此外，就在五年前，許多公司的網(wǎng)絡(luò)安全措施還僅限于基本流程，比如要求用戶輸入復(fù)雜的密碼并定期修改密碼。

隨著科技的進(jìn)步，智能手機(jī)在全球范圍內(nèi)激增，人們越來越多地使用智能手機(jī)進(jìn)行金融交易和其他敏感功能。事實(shí)上，今天至少有30億人(超過全球人口的40%)使用智能手機(jī)。

此外，據(jù)世界經(jīng)濟(jì)論壇(WEF)稱，潛在的“網(wǎng)絡(luò)攻擊面”已被物聯(lián)網(wǎng)(IoT)放大。“據(jù)估計，目前全球已有210多億臺物聯(lián)網(wǎng)設(shè)備，到2025年，這一數(shù)字將翻一番。”世界經(jīng)濟(jì)論壇在最近的一份報告中表示：“2019年上半年，對物聯(lián)網(wǎng)設(shè)備的攻擊增加了超過300%……而物聯(lián)網(wǎng)設(shè)備被用作媒介的風(fēng)險預(yù)計將會增加。”

演變中的規(guī)則：過去、現(xiàn)在和未來

通過這種數(shù)字化轉(zhuǎn)型，網(wǎng)絡(luò)風(fēng)險監(jiān)管在規(guī)模和嚴(yán)格程度上都得到了爆炸式的發(fā)展。直到幾年前，SEC還集中在上市公司披露網(wǎng)絡(luò)安全風(fēng)險的義務(wù)上——主要是通過事后報告。然而，在2018年2月，它加強(qiáng)了自己的監(jiān)管，要求董事會成員和高管對其公司的網(wǎng)絡(luò)風(fēng)險承擔(dān)更直接的責(zé)任。

在此指導(dǎo)下，董事會成員有義務(wù)了解其公司的網(wǎng)絡(luò)風(fēng)險，并采取積極措施減輕這些風(fēng)險。管理層和董事會現(xiàn)在還被要求定期進(jìn)行財務(wù)評估，并提前披露與所有潛在網(wǎng)絡(luò)風(fēng)險有關(guān)的信息。

SEC的指導(dǎo)方針的部分目的是幫助企業(yè)更好地理解網(wǎng)絡(luò)事件相關(guān)的經(jīng)濟(jì)影響，并更好地向內(nèi)部和外部利益相關(guān)者傳達(dá)有關(guān)其網(wǎng)絡(luò)安全有關(guān)的指標(biāo)。同時他們也使公司進(jìn)一步將網(wǎng)絡(luò)安全風(fēng)險整合到企業(yè)風(fēng)險管理計劃中，并通過關(guān)注投資回報（或業(yè)務(wù)實(shí)現(xiàn)）來優(yōu)化網(wǎng)絡(luò)安全。

如前所述，遭受網(wǎng)絡(luò)入侵的公司會受到監(jiān)管機(jī)構(gòu)的嚴(yán)厲懲罰。但我們目前看到的只是個開始。在未來幾年，我們可以預(yù)期，SEC在未來將會對向股東準(zhǔn)確披露網(wǎng)絡(luò)風(fēng)險相關(guān)事項(xiàng)進(jìn)行更嚴(yán)格審查和問責(zé)。

在整個監(jiān)管格局中，我們可以預(yù)期會出現(xiàn)更多實(shí)質(zhì)性罰款和更多執(zhí)法命令——這可能會對金融機(jī)構(gòu)的聲譽(yù)造成更大損害。在美國，聯(lián)邦和州一級的監(jiān)管審查都在加強(qiáng)。例如，紐約州等州已經(jīng)開始實(shí)施自己的網(wǎng)絡(luò)安全相關(guān)懲罰措施。

網(wǎng)絡(luò)安全中的角色：從董事會到CEO和CRO

在這種環(huán)境下，董事會成員和企業(yè)風(fēng)險主管——如首席執(zhí)行官、首席財務(wù)官、首席合規(guī)官和首席風(fēng)險官(CROs)——成為網(wǎng)絡(luò)安全團(tuán)隊的關(guān)鍵成員至關(guān)重要；否則，他們就會把自己和雇主置于極大的風(fēng)險之中。事實(shí)上，當(dāng)他們利用自己的領(lǐng)導(dǎo)角色，在整個企業(yè)范圍內(nèi)整合資源、引導(dǎo)注意力和提供網(wǎng)絡(luò)指導(dǎo)時，他們最能為自己、股東和員工服務(wù)。

董事會的大局觀賦予了他們獨(dú)特的整體視角，以減少豎井、集中資源、管理風(fēng)險和推動投資。

對于公司來說，新的法規(guī)能夠促進(jìn)各行各業(yè)實(shí)施有關(guān)網(wǎng)絡(luò)安全的良好措施。例如，許多首席執(zhí)行官已經(jīng)明白，你無法管理你無法衡量的東西。他們認(rèn)識到必須了解公司有關(guān)網(wǎng)絡(luò)安全的重要信息——比如客戶數(shù)據(jù)、專有信息和與之相關(guān)的關(guān)鍵業(yè)務(wù)流程。更重要的是，他們意識到必須保護(hù)這些資產(chǎn)不受網(wǎng)絡(luò)對手攻擊所造成的業(yè)務(wù)中斷的影響。

建立網(wǎng)絡(luò)安全意識文化

無論董事會的參與意味著對網(wǎng)絡(luò)安全的新的關(guān)注程度，還是僅僅意味著更多的監(jiān)管，它往往會帶來新的資源。隨著網(wǎng)絡(luò)安全成為商界高層領(lǐng)導(dǎo)人最關(guān)心的問題之一，支出也隨之增加：預(yù)計全球網(wǎng)絡(luò)安全支出今年將達(dá)到1,730億美元，到2026年將增至2,700億美元。

如果指導(dǎo)得當(dāng)，這項(xiàng)投資將用于建立良好的“網(wǎng)絡(luò)衛(wèi)生”和加強(qiáng)強(qiáng)大的網(wǎng)絡(luò)風(fēng)險文化的基本防御措施。這包括掌握基礎(chǔ)知識——例如，管理供應(yīng)鏈敞口；整合企業(yè)范圍的安全；保持基本技術(shù)衛(wèi)生；識別及載有網(wǎng)絡(luò)事件的資料；定期進(jìn)行風(fēng)險評估、評估和演習(xí)；以及改進(jìn)操作彈性和業(yè)務(wù)支持。

做好這些事情需要(1)深思熟慮，在整個企業(yè)范圍內(nèi)重視安全和問責(zé)制文化；(2)深入的專業(yè)知識，在組織上下部署；(3)致力于引進(jìn)和培養(yǎng)合適的人才。

在對收購或合作進(jìn)行盡職調(diào)查時，網(wǎng)絡(luò)威脅也可能是最重要的風(fēng)險因素之一。事實(shí)上，在一項(xiàng)對交易撮合者的調(diào)查中，90%的人表示網(wǎng)絡(luò)入侵可能會降低交易價值，83%的人表示他們可能會終止交易。這就是為什么美國證券交易委員會（SEC）的2018年網(wǎng)絡(luò)指導(dǎo)中有針對私營公司和上市公司的部分。

進(jìn)一步思考

網(wǎng)絡(luò)風(fēng)險曝光對高層領(lǐng)導(dǎo)以及他們所服務(wù)的客戶和社區(qū)而言是一場聲譽(yù)災(zāi)難。

網(wǎng)絡(luò)安全公司治理進(jìn)入了一個新時代，為企業(yè)領(lǐng)袖帶來了新的機(jī)遇和資源。在今天的環(huán)境下，首席執(zhí)行官們應(yīng)該期待他們的首席財務(wù)官、首席風(fēng)險官、首席運(yùn)營官和董事會成為他們最強(qiáng)硬的客戶——同時也是他們最大的網(wǎng)絡(luò)安全擁護(hù)者。

為了應(yīng)對這些挑戰(zhàn)和提高預(yù)期，企業(yè)應(yīng)該了解關(guān)鍵網(wǎng)絡(luò)事件的實(shí)質(zhì)影響——包括控制和恢復(fù)這些事件的成本。此外，它們必須制定計劃，隨著時間的推移提高其網(wǎng)絡(luò)彈性，同時通過商業(yè)和經(jīng)濟(jì)視角管理其網(wǎng)絡(luò)風(fēng)險暴露。

本文作者：Christopher Hetner

Christopher Hetner目前擔(dān)任美國企業(yè)董事協(xié)會（NACD）網(wǎng)絡(luò)風(fēng)險特別顧問和美國國防部分析研究所(U.S. Department of the Treasury)專家顧問。在此之前，他曾擔(dān)任美國證券交易委員會主席的高級網(wǎng)絡(luò)安全顧問。