然而,資安議題已經從單純由 IT 人 員或資安人員負責的技術層面,提升至 CISO 及執行主管與整體董事會參與督導的資安治理層級。
最明顯的例證就是 2020 年美國全國企業董監事協會(National Association of Corporate Director, NACD)針對資安治理提出的五大原則,如下:
一、 應將網路安全定位為戰略性企業風險而不僅僅是 IT 風險。
二、 應瞭解與公司特定情況相關的網路風險之法令規定與含義。
三、 擁有足夠的網路安全專業知識並在董 事會議程中定期且充分的討論風險管理。
四、 董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。
五、 管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identifi- cation and Quantification),以及接受、減輕或轉移哪些風險的個別計劃?(例如藉由保險安排)其中「原則二」指出全面了解法律、 法遵、監管的必要性,也間接導致首席法律顧問(General Counsel, GC)的角色須大幅調整。
今年NACD 公 佈「2023 網路風險督導手冊 」(Director’s Handbook on Cyber-risk Oversight)新增為六大原 則,保留之前的五項核心原則,並依據不斷變化的網路威脅態勢,擴增第六項原則如下:
六、 「董事會應鼓勵與同業及和政府共同 合作以增強系統性復原力。」 這是因為系統性網路攻擊正在崛起,造成的影響也將是前所未有的考驗!
不斷升高的網路威脅,及日漸嚴格的的法律規範,將為企業衍生許多法律與法遵的問題.並且因為業務合作、供應商合約,可能承擔連帶的法律責任。
網路安全相關法令涉及不同司法管轄地區,因此擴展業務前 GC 必須考慮監管環境以及數據隱私的規定――例如管制數 據(regulated data)的範圍、種類、儲 存及傳輸――考慮的風險包括商業機密遺失,智慧財產權爭議,違反合約及隱私侵 犯有關的潛在法律責任。
如果企業不能事先分析、妥善管理這些風險,將面臨刑、 民事調查和民事集體訴訟的高額法律費用及鉅額賠償金。 反之,若能適當減輕與網路安全相關的財務風險,例如公司修改與供應商之合約,以獲取賠償權並要求供應商購買特定的資安保險(cyber insurance),甚至錯 誤與疏失責任保險(Errors & Omissions liability insurance)將大幅彌補財務損失,挽救聲譽風險。
另一方面,一旦發生資安威脅事件,司法機構或政府其他相關單位(台灣的金管會、數位發展部,美國的SEC與 CISA3)將要求提供調查報告、事件應變計劃、平日的風險管理計劃、資安風險管理、董事會資安治理等相關報告與紀錄文 件,以做出最後的裁決或懲處。
GC 必須經常參與相關材料整理與彙整,才能妥善扮演企業與監理機構之間的橋樑,保護企業免受更大傷害。 網路事件造成的影響包括與監管機構、執法機關進行攻防導致的重大財務和聲譽損失。
在某些情況下,由於網路漏洞處理不當,GC 甚至要承擔個人責任(personal liabil- ity)。這意謂著 GC 應做好參與重大網路事件響應的準備。
GC 需要明確自己在網路事件中的角色;他們應該對網路安全和數位威脅環境有多少瞭解?應該如何協助處理數據洩露事件?一旦發生資安事件 GC 必須瞭解事件對公司造成的法律影響,並向董事會提供相應的 建議。
希望本文可以給 GC 一些事前的提醒與準備,事後的指引與協助。 GC 在資訊安全中的關鍵角色主要包括以下幾點:
一、 法律合規性:
GC 負責確保公司在資訊安全方面符合相關法規和法律標準。首先 GC 需要盤點公司遵循數據保護、隱私權、電子通訊和其他相關法規而且有完整的瞭解。(參見表一)
其次、公司需要瞭解並實行這些法規要求的安全措施與保護(security measures and protection)。 但是由於業務開展在不同的地區、不同州與國家其法律適用有所不同,關於數據保護管轄權差異甚大,例如、歐盟國家有比美國更嚴格的數據保護標準。
然而,某些國家地區更傾向主動進行數據監視,例如中國大陸。 GC 或 compliance officer 必須思考如何持續跟蹤和監控合規性,這必須依賴一個計劃來確保,並紀錄了所有與監管義務有關的程序和政策。
同時必須確認自身確認遵守對外公佈的隱私政策,最後,業務往來的供應商或公司是否面臨監管風險(regulatory risk)也須注意,由於外包關鍵流程與數據日益擴增,基於監管風險的考量,企業必須思考思否實施供應商風險計劃(Vendor Risk Program, VRP)。
二、 提供風險評估與建議:
GC 需要評估公司在資訊安全方面的風險,並制定相應的法律策略以降低這些風險。 這些風險包括,違反網路安全可能導致的法律責任風險(表二、美國有關網路安全法 律責任的重要法規)由於個資保護不當,引發集體訴訟的風險,除了高昂的法律費用之外還面臨巨大賠償金。
隨之而來的可能是因為網路安全的失敗,例如系統故障導致營運中斷或者商業機密知 識產權外洩都可導致股價下跌,引發股東集體訴訟,指控董事會與執行主管疏失(negli- gence)或管理不當(mismanagement),同樣面臨最昂貴的訴訟與鉅額賠償金。
相關法令以及特定行業的法律規定,通常是要求企業採取合理或適當的步驟來保護個資,然而法律通常沒有提供足夠明確的具體要求,GC 必須瞭解行業慣例並尋求相關監理機構的指導,讓這些標準或規範具有可執行性。
合約條款方面,與供應商簽訂的合約是否保護公司,例如增加第三方在資訊保護的義務,並且發生違規事件時向其行使追索權,或者賠償因供應商之過失引發網路安全事件造 成公司的損失。
這些損失賠償,保險扮演極重要的角色;必須確認保險標的物、覆蓋範圍、除外責任、 啟動理賠要件、最高保障限額等等,常見相關的保險有資安保險、錯誤與疏失責任保險、 營運中斷保險(business interruption insurance),智慧財產權責任保險(intellectual property liability insurance),甚至犯罪責任保險(criminal liability insurance) 與企業風險管理的最後一道防線—董監事暨重要幹部責任保險(D&O liability insur- ance)。
企業若沒有設立風險長,那麼 GC 也 必須與專業保險經紀人協議最佳風險轉嫁作為,除了財務損失得到補償之外,更重要的是可以加速法律程序及監理審查,恢復正常營運,甚至證明企業有高度風險意識,而非忽視不管,其他相關手段還包括;
☑定期的法律環境變動分析,每一季、每 半年或是至少每年一次。
☑定期的合約檢視,以便更及時的合約更 換討論。
☑萬一發生訴訟,確保最大限度降低電子採證成本(e-discovery cost),有賴運用先進技術進行良好的數據分類、整理與定期汰除冗餘,及專業電子採證供應商建立合作關係。
三、 參與資安政策及隱私保護政策制定,以落實數據和隱私保護;
確保公司的數據處理和儲存符合隱私法規,以確保客戶和員工的數據得到妥善保護。許多台灣的企業誤以爲 B2B,就不必太重視個資與隱私保護,其實國外不乏因違反員工個資及隱私保護遭受監理機關重罰的案例。
進一步必須定期確認保留、保護數 據的成本是否超過商業利益,一旦不符合商業利益,則必須有數據銷毀政策與作業程序,這樣才是完整的數據及隱私保護政策。
實務上常見政策制定卻沒有落實,然而一旦發生資安事件,必須有完整的紀錄跟存檔,涵蓋操作程序、監控及員工培訓 等相關紀錄,因為出示完整檔案紀錄,是監管機構事件調查的第一步。
四、 溝通和培訓;
GC 在資訊安全問題上需要與公司內部各級別進行有效的溝通,同時與 CISO 攜手培訓員工,提高其對資訊安全的認識,風險意識並推動全體員工對合規性的不斷更新理解。
此外內部不肖員工經常成為資安威脅的來源,員工個人或者與外部不法份子理應外合,因此透過培訓,明確讓內部員工知道若有不法行為將遭受公司法律追究並可能面臨刑事訴訟與鉅額民事賠償。
正確且即時的對外溝通將有效降低聲譽風險、減緩股價下跌、甚至影響監理機 構與執法單位的態度,這有賴 GC 與專業公關團隊緊密合作,這些因公關溝通產生的費用,可以由資安保險理賠支付。
五、 應對違規行為;
當被告發現資訊安全方面的違規行為時,可能是內部人檢舉或監理機關不定期稽查,GC 需要協助公司進行調查,制定應對策略,並做具體修正改善措施協助,配合監理機關調查,爭取其諒解或寬容,再與內外公關團隊密切合作,對外做出說明或釐清並在必要時參與法律訴訟。
六、 制定事件應變計劃(incident response plan)並協助應對資安事件;
事件應變計畫本質上是危機管理中的一環,而危機管理與風險管理的差異在於較偏向局部短期的因應措施,不論危機管理或是風險管理始終是一項團隊合作的工作。
GC 將依賴各種來源的訊息:包括內部技術團隊、外部搜證調查人員、外部專業公關和內部企業溝通部門、外部法律顧問、數據外洩輔導員(breach coach- es)、保險代表以及董事會、執行主管 (C-level executives),這些訊息的彙整為 GC 在應變過程中提供建議之依據。
GC 的角色不是事件應變專家,沒有人會指望 GC 接 管 IT 部門、蒐集取證, 拼湊完整圖像、從中提取惡意軟件樣本或 破獲網路犯罪。
但是,人們會期望您知道在發生數據外洩事件時應採取的正確步驟、如何找到最好的幫助以及應避免哪些陷阱。 瞭解事件對公司造成的法律影響,同時協助減少管理與資訊安全相關的風險,包括在事件發生時的應變,並向董事會提供相應的建議。
GC 在資安事件中的具體作為:GC 是資安管理、合規及資安事件應 變的重要對外窗口,因此必須
1. 建立專業團隊與領導,以確保平常之資安管理系統流程、定期稽查與紀錄檢討。
發生資安事件的危機處理,其中一項重要決策是如何引進外部專家的協助?大多數的公司並沒有強大資訊安全團隊,因此非常可能面對重大資安事件是顯得束手無策。
事前必須與 IT 團隊深入交談,詢問過去處理事件的類型、如何調查、如何控制事件的擴大以及如何彌補較容易造成重大損失或較容易被駭客利用之漏洞等。
這些發現將決定您在尋求外部幫助之前應該等待多少時間。
2. 制定事件升級協議(incident escalation protocol)
該協議應是更廣泛的事件響應計劃的 組成部分,並應定義發生數據安全事件時的升級和內部通知程序。
由 IT、安全和法律團隊共享的完善協議可確保利益相關者擁有評估事件潛在影響的流程。該流程應明確規定在什麼情況下向部門和執行管理層發出警報,以及在什麼情況下請求外部幫助。
在盡量減少誤報和確保真正的風險得到及時關注和適當應對之間找到最佳平衡點。
3. 與事件應變顧問(Incident Re- sponse Consultant, IRC) 建立合作關係
如果沒有與 IRC 建立合作關係,現在就開始尋找,而不是身處危機中再尋找。
在美國大型律師事務所都有隱私或數據安全業務,經常與網路安全諮詢實體合作。 但在台灣,律師事務所幾乎沒有配合 IRC,有一個可能的推薦來源就是您的保險經紀人。
專業資安風險的保險經紀人經常協助企業隱私或數據安全業務部門與網路安全諮詢實體合作。 您必須及早與這些被推薦的提供商交談,瞭解他們的運作方式、一般的收費標準以及在提供服務方面的相對優勢和劣勢。
您需要的是一家能夠傾聽並理解您的需求、具有專業領域知識、反應迅速的公 司,在您所處的行業和應對您所面臨的網 路風險類型方面擁有直接經驗更好。
4. 評估資安事件的範圍
當事故發生時,您的 IRC 首先需要 評估其範圍,IRC 將花時間瞭解您的網路基礎設施。IRC 可能已經在初步評估中獲得必要的瞭解。他們將確定已知的事件程度,確定調查所需的技術能力,決定應指派多少名顧問,並制定整體項目預算。
5. 建構合作法律關係
由於調查的敏感性以及潛在的下游法律與監管風險,可以考慮由外部法律顧問,以第三方身分聘用 IRC。
這是在調查中保有「保密規定」特權的首選方法,IRC 在外部法律顧問的指導下工作,儘管調查工作本身是保密的,但發現的事實可能也必須要揭露,但必須禁止一種行為,那就是 IRC 將調查過程與結果當成有利的行銷材料,或者在產業研討會中作為個案研究,公開分享。
6. 遏阻與證據保存、收集
IRC 首要目的是遏阻事件傷害擴大, 這也是客戶最迫切需要的,因此必須採取立即的措施,儘速止血,限制事件造成的損害擴大然而在遏阻損害的過程中也必然會造成證據的流失。
因此必須盡快從遏阻移動到數位鑒識調查,調查從識別保存,蒐集相關證據開始,調查目標包括確定入侵的初始載體,攻擊者在環境中做了什麼?還有竊取什麼?
7. 鑒識報告(The Forensic Report)
大多數資安事件調查都需要一份鑒識報告,完整的內容包括;入侵發生的方式和時間,惡意行為者瀏覽或竊取了敏感數據或受監管數據(regulated data)為解決入侵問題而採取的控制措施;以及公司如何補救任何被利用的漏洞。
當監管機構或原告律師登門時,一份完整的鑒識報告將是有關事件、入侵時的資訊安全環境狀況以及公司應變措施的最佳記錄,更是關鍵證據。
它可以證明公司 採取了「合理的」安全保障措施,並及時採取了適當的行動通知監管機構和受影響 的客戶。個資所有者通知(notification) 與信用監控(credit monitoring)產生的費用可申請資安保險理賠。
身為 GC,您將在撰寫鑒識報告中發揮重要作用。享有優先權與 IRC 合作起草報告,以確保您能理解報告的內容,並確 保報告能恰當地解決問題。往往蒐證鑒識 團隊對特定詞語的法律風險的理解與您的理解並不一致。
報告何時揭露屬於一項高度策略性決策,在時機成熟之前務必保密,適時公布這些訊息才能成為您的防禦盾牌。
首席法律顧問在資安管理與資安治理的角色比過去所理解的更重要,企業必須調整思維,了解法律團隊在未來應該扮演的角色,給予必要的資源以及發揮的空間,但前提是公司有良好的風險管理文化,董事會重視風險管理,否則終究只是淪為空談。
另一方面首席法律顧問不該受限於過去的職能與角色定位,妥善扮演資安管理團隊的統合角色,包括面對外部資安應變專家、公關危機處理專家、風險 管理諮詢顧問,專業保險經紀人.必要時涵蓋外部律師.監理機關與執法單位。
對內整合外部專家力量共同協助資安長、財 務長、執行長等相關執行主管妥善面對資安威脅,並協助董事會不斷提升資安治理水平。
.jpg)
.jpg)
