從「G」,所謂的「治理」層面來談資安問題;美國聯邦金融機構審議委員會 (Federal Financial Institute of Exam Counsel, FFIEC)及美國全國企業董監事協會(National Association of Cor- porate Directors, NACD)皆指出資安議題並非 IT 議題,而是董監事層級議題。
此外全球三大國際 ESG 指數之一,道瓊永續指數(Dow Jones Sustainabil- ity Index, DJSI) 在 2019 年 DJSI 在 評估問卷中增加了第 1.9 項“Information Security, Cybersecurity & System Availability ”,此項又可細分為:
1.9.1、Information Security / Cyber- security Governance:
1. 董事會是否參與網路安全相關策略擬定與流程檢視?
2. 董事會相關權責人員是否具有 IT 或網 路安全背景?
1.9.2、Security Measure:
是否針對有接觸重要資訊權限之員工實施以下政策與措施,以確保其了解安全風險及危害:
1. 內部政策公告
2. 風險意識教育
3. 資安通報流程及納入績效考評
1.9.3、Process and Infrastructure:
1. 針對事件回應(incident response) 是否有營運持續及應變計劃(business continuity / contingency plans) 與流程,以及多久執行演練測試?
2. 網路安全管理框架是否取得第三方驗 證?例如 ISO 27001, NIST 等等。
3. 網路安全管理流程是否經過外部稽核, 並且執行弱點分析?例如模擬駭客攻擊。
1.9.4、Information Security / Cyber- security:
1. 過去三年網路安全事件數量?
2. 造成客戶個資外洩數量?
3. 這些事件的合計賠償金額或罰款?
1.9.4 另一個揭露重點在於如何評估藉由保險降低財務風險?企業是否藉由資安保險轉嫁資料外洩的損失?投保資安保險的最高保額(maximum coverage) 多少?
從「S」,所謂的「社會」層 面來談資安問題,有以下幾項值得關注:
一、 對消費者的責任
直接相關的就是企業應保護客戶的個資,客戶個資外洩絕對是重大的資安事件,因此企業是否制定明確且不低於法令規範要求的隱私政策(privacy poli- cy),同時確保遵守其公告之隱私政策;其次應確實暸解何人掌有哪些管制數據,且有明確數據保留與銷毁的流程規定。
二、勞工準則
如何公平對待勞工,除了安全的工作環境也與隱私高度有關。最明顯的例子,莫過於 2020 年德國資料保護與信息自由委員會引用歐盟的「一般資料保護規範」 (General Data Protection Regulation, GDPR)對時尚品牌 H&M 開罰 3530 萬 歐元,起因就是 H&M 德國分公司嚴密監控員工私人生活,違反隱私保護規定。
除了歐盟施行 GDPR,台灣也於 2010 年通過《個人資料保護法》,對岸則在 2021 年九月實施號稱全球最嚴格的 《數據安全法》。
其實與個資有關的立法作為,比我們 想像中的更多也更早。例如加州在 2003 通過《數據庫洩露通知安全法案》,這個法案要求企業一旦確認民眾的「個人識別資訊」(PII)被洩漏時,應通知加州居民。
在一個真實案例中,當加州居民收到有關安全漏洞的信件時,其他 18 個州的總檢察長也要求通知他們的居民。這些法令皆指出在所有的數據中,「個人識別資訊」(PII)保護是重中之中,因此一旦個資外洩將造成企業極大的衝擊。
時至今日,資安威脅、網路安全事件,已經把「S」,所謂社會層面從個資外洩、 隱私保護提升到另一個境界了!2020 年美國全國企業董監事協會 NACD 與 網路安全聯盟(Internet Se- curity Alliance, ISA) 於 2020 年與世界經濟論壇(World Economic Forum, WEF)共同制定「2020 網路風險督導手 册」(Cyber-Risk Oversight 2020-Key Principles and Practical Guidance for Corporate Board),提出了五大原則分別如下:
一、 董事應將網路安全定位為戰略性企業風險,而不僅僅是 IT 風險。
二、 應了解與公司有具體影響的相關網路風險之法令規定與含義。
三、 董事應擁有足夠的網絡安全專業知識,並在董事會議程中定期且充分的討論網路風險管理。
四、 董事應期望管理階層應建立網路風險管理框架、報告架構,且具有足夠之人員配置和預算。
五、 管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identifi- cation and Quantification),以及接受、減輕或轉移哪些風險的個別方法,及每一個別方法具體計劃(例如 藉由保險安排)。
借鏡 NACD 2020 提出的五大原則,台灣上市公司董事有什麼值得關注的呢?
證交所公布「108 年度公司治理評鑒指標」共計四大構面 85 項指標,其中增修「建置資訊安全管理風險架構,訂定資訊安全政策管理方針,並揭露與公司網站 或年報」,之後 111 年評鑑指標修正與新 增,其中編號 2.24(如表一)即是針對資安治理-對照 NACD 原則二、原則四。
108 年 3 月正式實施《資通安全管理法》,將所有上市櫃公司分為三個等級,依其所屬分級規範對應的資安執行作為及頻率。
子法於 110 年 8 月修正公布,包括 《資通安全管理法施行細則》、《資通安 全責任等級分級辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計劃實施情形稽核辦法》、《資通安全情資分享辦法》、《公文機關所屬 人員資通安全事項獎懲辦法草案》-對照 NACD 原則二、原則四。
金管會於 110 年 12 月修正《公開發 行公司建立內部控制制度處理準則》,要求實收資本額達新台幣 $100 億元以上、 前一年底屬台灣五十指數成分公司,及主要經營電子商務媒介商品或服務之上市櫃公司,應於 111 年指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少兩名資訊安全專責人員)──對照 NACD 原則四。
111 年 11 月修正《公開發行公司年 報應行記載事項準則》六大揭露重點:
一、 資通安全管理
二、 資通安全政策
三、 具體管理方案
四、 投入資通安全管理之資源
五、 重大資通安全事件之損失、可能影響及因應措施
六、 資通安全保險 (此項修正案最後生效日期為 113.01.01)
一一對照 NACD 原則五也涉及資安保險及網路風險量化(Cyber-Risk Quantification, CRQ)。 CRQ 應該是目前台灣資安治理最被忽視的一塊拼圖,當 CRQ 確認之後,董事會與管理層才可能對網路風險偏好 (risk appetite)達成一致共識,進而為重要業務活動設立警戒線。
今年 NACD 公布的「2023 網路風險督導手冊 」(Director’s Handbook on Cyber-risk Oversight)新增為六大原則,第四版保留了之前的董事會監督網路安全的五項核心原則,並依據不斷變化的網路威脅態勢更新指南中的內容,最值得注意的變動是擴增第六項原則如下:
六、「董事會應鼓勵與同業及和政府 共同合作以增強系統性復原力。」
2017 年,NotPetya 惡意攻擊烏克蘭,駭客將一個極具破壞性的軟體,藏在烏克蘭國內使用廣泛的會計軟體更新檔裡,最後導致感染的系統蔓延擴散到全世界,使全球航運癱瘓,最終造成建築業、 個人護理到消費食品等許多行業總計超過 100 億美元的損失。
2020 年,藉由入侵美的基礎設施供應商 SolarWinds 安裝的更新程序,病毒被上傳到包括國防部在内的大部分美國聯 邦政府、美國 Fortune 500 中的 425 家公司,以及全球無數的客戶。
這類的網路攻擊事件,不同於傳統的 網路攻擊,應該視為一種「系統性網路攻擊」(systematic cyberattacks),雖然目前較為少見,然而隨著 5G、移動通訊、 雲計算、AI 等新興技術的發展,將增加系統性網路攻擊事件發生的可能性及造成的巨大影響。
為了因應系統性網路攻擊事件,有效的網路安全風險管理不僅需要打破組織内部的「孤島」 (silos),同時要打破組織、執法部門、監管機構和社區同業之間 存在的訊息共享障礙,才能實現真正有效 的系統性網路復原力。
「數據孤島」指的是資料在組織內部無法互通、整合和共享的現象;它會對企業或組織造成不好的影響,例如限制組織內部跨團隊協作能力、影響資料正確性及可信度、錯誤分析資料和產生不好的使用者體驗。
NACD 對董事會提出具體建議如下:
1. 全方位了解組織的風險和因應能力,在企業經營的大環境中發揮作用以承擔社會責任。
2. 發展包括其他董事會成員在内的同業網路,以分享交流跨公司的最佳資安治理實務。
3. 確保管理層制定明確訊息共享計劃,特别是與公共部門的合作,以提高安全性和復原力。
4. 確保管理層考慮到更廣泛的行業因素 (如第三方供應商和合作夥伴)帶來的 風險。
5. 鼓勵管理層參與同業組織、知識和訊息共享平台,如特定行業的訊息共享和分析中心(Information Sharing and Analysis Center, ISAC)和/或跨行 業訊息共享組織(Information Shar- ing and Analysis Organizations, ISAO)。
這其中最受矚目的與公部門的共 同合作;手冊中特別提供三項實務工具 (tool),以協助企業與公部門建立夥伴關係,分別是:
(1) Tool K,“Working with CISA and Having a Conversation with your CISO”
(2) Tool L,“Incident Response and Reporting to the FBI”
(3) Tool N,“US Secret Service ’s Role in Stopping Financial Loss”
美國聯邦調查局 FBI,美國秘勤局 USS,這二個單位應該不算太陌生,在此介紹一下「美國網路安全暨基礎設施安全局 」(Cybersecurity and Infrastructure Security Agency, CISA),CISA 成立於 2007 年,前身是國土安全部國家保護和計劃局。
隨著 2018 年《網絡安全和基礎設施安全 機構法》的實施,CISA 的業務範圍不斷擴大,包括確保選舉和人口普查、管理國家特殊安全事件以及美國應對 COVID-19 大流行的角色。
2021 年 8 月 CISA 宣布成立「聯合網路防禦協作機制」(Joint Cyber Defense Collaborative,JCDC),依據《國防授權法》(National Defense Authorization Act of 2021, NDAA)所賦予的權限,匯集公私部門協力合作,以共同抵禦關鍵基礎設施的網路威脅,主導美國國家網路防禦計畫的制定。
聯合網路防禦協作辦公室(JCDC’s office)將由具代表性的美國聯邦政府單位所組成,包括國土安全部(Department of Homeland Security, DHS)、司法部(Department of Justice, DOJ)、美國網路司令部(United States Cyber Command, USCYBER- COM)、國家安全局(National Security Agency, NSA)、聯邦調查局和國家情報總 監辦公室(Office of the Director of National Intelligence, ODNI)。
此外,JCDC 將與自願參與的夥伴合作、協商,包括州、地方、部落和地區政府、資訊共享與分析組織 和中心(ISAOs / ISACs),以及關鍵資訊系統的所有人與經營者,以及其他私人企業實體等(例如:Microsoft、Amazon、google 等服務提供商)。
政府經常對外宣示:「資安即是國安」,美國政府的實際作為可視為實踐「資安即是國安」的最佳典範。
除了原則六「董事會應鼓勵與同業及和政府共同合作以增強系統性復原力。」另一個值得注意的改變就是,原則三「擁有足夠的網路安全專業知識並在董事會議程中定期且充分的討論網路風險」。
2020 年的版本,顯示不到 40% 的董事會,定期收到與隱私和網路安全風險相關的報告,26% 的董事會,很少或從未收到任何網路相關風險報告。然而在 2023 年的版本,NACD 指出,相較於兩年前董事會對現今資安風險的了解有顯著提高。 (參見圖一)
另外,在圖二中顯示,近三分之二的董事會的資安風險監督作為分別為:
1. 檢視公司現有保護最重要數據資產的做法
2. 檢視最重大的資安風險以及公司的應變計劃
3. 檢視萬一發生事故時,資安保險的涵蓋範圍
依筆者的實際經驗,台灣上市公司普遍沒有資安保險,更沒有量身訂作的資安保險,那麼董事會就絕不可能檢視資安保險涵蓋範圍了。而且會要求管理階層考慮資安保險的通常是獨立董事。
另外有將近一半的董事會評估萬一遭遇網路攻擊時,董監事責任保險(Director and Officer liability insurance, D&O insurance)提供董監事保障的範圍如何?
許多董監事或許知道資安保險有助降低網路攻擊事件造成的損失,但完全不明白為何資安事件與 D&O 保險有關,圖三可以清楚解釋為何資安事件可能啟動 D&O 保險理賠。
筆者在中華公司治理協會講授「如何發揮 D&O 保護董監事的最大價值」舉例說明如下:萬一企業發生個資外洩事件,引發個資所有人提出集體訴訟,最後雙方以 1000 萬美 金和解,並由公司的資安保險理賠支付 1000 萬和解金,及所有抗辯費用、系統恢復費用 和專業公關費用等支出,於是公司很快恢復正常營運。
反之若董事會及管理階層沒有為公司規劃資安保險,那麼所有和解金、抗辯費用、系統恢復的費用都將由公司的利潤支付,這將造成公司獲利大幅縮水甚至虧損,最終導致股價下跌,投資人蒙受損失,於是提起集體訴訟。
董事會及管理層可能面臨「疏失」、「背信」、「不作為」、「違反義務」等指控, 不論哪一項指控皆可啟動 D&O 保險,而台灣的實際情況是企業不知道資安保險的重要性,同時 D&O 保險的保額又偏低(如表二、表三),一旦發生「系統性網路攻擊」恐怕將帶 給台灣上市公司致命一擊!
資安治理過去與「S」(社會)相關,聚焦於個資保護與隱私安全。然而隨著新興科技的蓬勃發展,例如移動裝置、雲計算、人工智能、IOT 整合,加上漫長的國際供應鏈,使得組織安全受到極大的威脅。
企業在競爭激烈的環境中,仍須確保獲利與營收成長,使得資安治理不能僅限於公司內部而必須擴大到網路生態系統(cyber ecosystem)。這樣的轉變對董事會帶來挑戰,尤其面對與日俱增的「系統性網路攻擊」,這意謂企業將承擔 更大的社會責任,唯有跨出公司本位思維與同業、整體產業甚至國家相關部門共同攜手合作,方能確保整體社會安全及國家安全。