全球風(fēng)險(xiǎn)管理專業(yè)人士協(xié)會(GARP)致力于為風(fēng)險(xiǎn)管理?xiàng)l線上的各級人員,包括各大金融機(jī)構(gòu)的風(fēng)險(xiǎn)從業(yè)者和監(jiān)管機(jī)構(gòu)人員提供風(fēng)險(xiǎn)教育和最新行業(yè)資訊。GARP China微信公眾號將持續(xù)轉(zhuǎn)載“GARP Risk Intelligence”系列文章,介紹科技、企業(yè)文化與治理、能源等領(lǐng)域?qū)Σ僮黠L(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)和資產(chǎn)負(fù)債管理的影響。讓我們一起全面認(rèn)識風(fēng)險(xiǎn),防范風(fēng)險(xiǎn),化解風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全和數(shù)據(jù)隱私泄露正在造成巨大的經(jīng)濟(jì)和聲譽(yù)損害,這是目前許多企業(yè)面臨的問題,而這個問題須由高管和董事會妥善解決。針對網(wǎng)絡(luò)問題,監(jiān)管格局發(fā)生了怎樣的變化?銀行可以采取哪些步驟來改善它們的網(wǎng)絡(luò)風(fēng)險(xiǎn)防御以及建立更多的網(wǎng)絡(luò)安全文化意識?
每一年,網(wǎng)絡(luò)犯罪都變得更快、更容易、成本更低,使得各種公司——包括銀行——比以往任何時(shí)候都更容易受到攻擊。到2021年,網(wǎng)絡(luò)犯罪造成的損失預(yù)計(jì)將達(dá)到每年6萬億美元。為了阻止這樣的攻擊,銀行在網(wǎng)絡(luò)安全上花費(fèi)了數(shù)千億美元,監(jiān)管機(jī)構(gòu)也理所當(dāng)然地加大了力度。
在美國,聯(lián)邦監(jiān)管機(jī)構(gòu)大幅提高了與網(wǎng)絡(luò)安全和數(shù)據(jù)隱私相關(guān)的處罰。在過去的幾年中,許多監(jiān)管機(jī)構(gòu)——如聯(lián)邦貿(mào)易委員會、聯(lián)邦通信委員會、證券交易委員會(SEC)和衛(wèi)生與公眾服務(wù)部——已經(jīng)開出了2500萬美元到50億美元不等的罰款。
不斷變化的監(jiān)管格局與經(jīng)濟(jì)和技術(shù)變革不謀而合,經(jīng)濟(jì)和技術(shù)變革正在幫助新的網(wǎng)絡(luò)安全意識在全球所有行業(yè)的董事會和高管層中扎根。今天的企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)必須從最高層開始——包括董事會、企業(yè)風(fēng)險(xiǎn)主管和首席執(zhí)行官。
實(shí)際上,董事會成員現(xiàn)有的監(jiān)管義務(wù)包括了解公司的網(wǎng)絡(luò)風(fēng)險(xiǎn),并采取積極措施緩解這些風(fēng)險(xiǎn)。此外,管理層和董事會必須定期進(jìn)行財(cái)務(wù)評估,并提前向股東披露所有潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
雖然這一現(xiàn)實(shí)給首席執(zhí)行官和其他高管帶來了新的壓力,但它也為那些建立網(wǎng)絡(luò)風(fēng)險(xiǎn)意識文化的公司提供了機(jī)會,使自己有別于競爭對手,并獲得競爭優(yōu)勢。這代表著與過去的不同,過去首席執(zhí)行官們在所有與網(wǎng)絡(luò)安全相關(guān)的事情上都依賴CTO、CIO或CISO。此外,就在五年前,許多公司的網(wǎng)絡(luò)安全措施還僅限于基本流程,比如要求用戶輸入復(fù)雜的密碼并定期修改密碼。
隨著科技的進(jìn)步,智能手機(jī)在全球范圍內(nèi)激增,人們越來越多地使用智能手機(jī)進(jìn)行金融交易和其他敏感功能。事實(shí)上,今天至少有30億人(超過全球人口的40%)使用智能手機(jī)。
此外,據(jù)世界經(jīng)濟(jì)論壇(WEF)稱,潛在的“網(wǎng)絡(luò)攻擊面”已被物聯(lián)網(wǎng)(IoT)放大。“據(jù)估計(jì),目前全球已有210多億臺物聯(lián)網(wǎng)設(shè)備,到2025年,這一數(shù)字將翻一番。”世界經(jīng)濟(jì)論壇在最近的一份報(bào)告中表示:“2019年上半年,對物聯(lián)網(wǎng)設(shè)備的攻擊增加了超過300%……而物聯(lián)網(wǎng)設(shè)備被用作媒介的風(fēng)險(xiǎn)預(yù)計(jì)將會增加。”
演變中的規(guī)則:過去、現(xiàn)在和未來
通過這種數(shù)字化轉(zhuǎn)型,網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)管在規(guī)模和嚴(yán)格程度上都得到了爆炸式的發(fā)展。直到幾年前,SEC還集中在上市公司披露網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的義務(wù)上——主要是通過事后報(bào)告。然而,在2018年2月,它加強(qiáng)了自己的監(jiān)管,要求董事會成員和高管對其公司的網(wǎng)絡(luò)風(fēng)險(xiǎn)承擔(dān)更直接的責(zé)任。
在此指導(dǎo)下,董事會成員有義務(wù)了解其公司的網(wǎng)絡(luò)風(fēng)險(xiǎn),并采取積極措施減輕這些風(fēng)險(xiǎn)。管理層和董事會現(xiàn)在還被要求定期進(jìn)行財(cái)務(wù)評估,并提前披露與所有潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)有關(guān)的信息。
SEC的指導(dǎo)方針的部分目的是幫助企業(yè)更好地理解網(wǎng)絡(luò)事件相關(guān)的經(jīng)濟(jì)影響,并更好地向內(nèi)部和外部利益相關(guān)者傳達(dá)有關(guān)其網(wǎng)絡(luò)安全有關(guān)的指標(biāo)。同時(shí)他們也使公司進(jìn)一步將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)整合到企業(yè)風(fēng)險(xiǎn)管理計(jì)劃中,并通過關(guān)注投資回報(bào)(或業(yè)務(wù)實(shí)現(xiàn))來優(yōu)化網(wǎng)絡(luò)安全。
如前所述,遭受網(wǎng)絡(luò)入侵的公司會受到監(jiān)管機(jī)構(gòu)的嚴(yán)厲懲罰。但我們目前看到的只是個開始。在未來幾年,我們可以預(yù)期,SEC在未來將會對向股東準(zhǔn)確披露網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)事項(xiàng)進(jìn)行更嚴(yán)格審查和問責(zé)。
在整個監(jiān)管格局中,我們可以預(yù)期會出現(xiàn)更多實(shí)質(zhì)性罰款和更多執(zhí)法命令——這可能會對金融機(jī)構(gòu)的聲譽(yù)造成更大損害。在美國,聯(lián)邦和州一級的監(jiān)管審查都在加強(qiáng)。例如,紐約州等州已經(jīng)開始實(shí)施自己的網(wǎng)絡(luò)安全相關(guān)懲罰措施。
網(wǎng)絡(luò)安全中的角色:從董事會到CEO和CRO
在這種環(huán)境下,董事會成員和企業(yè)風(fēng)險(xiǎn)主管——如首席執(zhí)行官、首席財(cái)務(wù)官、首席合規(guī)官和首席風(fēng)險(xiǎn)官(CROs)——成為網(wǎng)絡(luò)安全團(tuán)隊(duì)的關(guān)鍵成員至關(guān)重要;否則,他們就會把自己和雇主置于極大的風(fēng)險(xiǎn)之中。事實(shí)上,當(dāng)他們利用自己的領(lǐng)導(dǎo)角色,在整個企業(yè)范圍內(nèi)整合資源、引導(dǎo)注意力和提供網(wǎng)絡(luò)指導(dǎo)時(shí),他們最能為自己、股東和員工服務(wù)。
董事會的大局觀賦予了他們獨(dú)特的整體視角,以減少豎井、集中資源、管理風(fēng)險(xiǎn)和推動投資。
對于公司來說,新的法規(guī)能夠促進(jìn)各行各業(yè)實(shí)施有關(guān)網(wǎng)絡(luò)安全的良好措施。例如,許多首席執(zhí)行官已經(jīng)明白,你無法管理你無法衡量的東西。他們認(rèn)識到必須了解公司有關(guān)網(wǎng)絡(luò)安全的重要信息——比如客戶數(shù)據(jù)、專有信息和與之相關(guān)的關(guān)鍵業(yè)務(wù)流程。更重要的是,他們意識到必須保護(hù)這些資產(chǎn)不受網(wǎng)絡(luò)對手攻擊所造成的業(yè)務(wù)中斷的影響。
建立網(wǎng)絡(luò)安全意識文化
無論董事會的參與意味著對網(wǎng)絡(luò)安全的新的關(guān)注程度,還是僅僅意味著更多的監(jiān)管,它往往會帶來新的資源。隨著網(wǎng)絡(luò)安全成為商界高層領(lǐng)導(dǎo)人最關(guān)心的問題之一,支出也隨之增加:預(yù)計(jì)全球網(wǎng)絡(luò)安全支出今年將達(dá)到1,730億美元,到2026年將增至2,700億美元。
如果指導(dǎo)得當(dāng),這項(xiàng)投資將用于建立良好的“網(wǎng)絡(luò)衛(wèi)生”和加強(qiáng)強(qiáng)大的網(wǎng)絡(luò)風(fēng)險(xiǎn)文化的基本防御措施。這包括掌握基礎(chǔ)知識——例如,管理供應(yīng)鏈敞口;整合企業(yè)范圍的安全;保持基本技術(shù)衛(wèi)生;識別及載有網(wǎng)絡(luò)事件的資料;定期進(jìn)行風(fēng)險(xiǎn)評估、評估和演習(xí);以及改進(jìn)操作彈性和業(yè)務(wù)支持。
做好這些事情需要(1)深思熟慮,在整個企業(yè)范圍內(nèi)重視安全和問責(zé)制文化;(2)深入的專業(yè)知識,在組織上下部署;(3)致力于引進(jìn)和培養(yǎng)合適的人才。
在對收購或合作進(jìn)行盡職調(diào)查時(shí),網(wǎng)絡(luò)威脅也可能是最重要的風(fēng)險(xiǎn)因素之一。事實(shí)上,在一項(xiàng)對交易撮合者的調(diào)查中,90%的人表示網(wǎng)絡(luò)入侵可能會降低交易價(jià)值,83%的人表示他們可能會終止交易。這就是為什么美國證券交易委員會(SEC)的2018年網(wǎng)絡(luò)指導(dǎo)中有針對私營公司和上市公司的部分。
進(jìn)一步思考
網(wǎng)絡(luò)風(fēng)險(xiǎn)曝光對高層領(lǐng)導(dǎo)以及他們所服務(wù)的客戶和社區(qū)而言是一場聲譽(yù)災(zāi)難。
網(wǎng)絡(luò)安全公司治理進(jìn)入了一個新時(shí)代,為企業(yè)領(lǐng)袖帶來了新的機(jī)遇和資源。在今天的環(huán)境下,首席執(zhí)行官們應(yīng)該期待他們的首席財(cái)務(wù)官、首席風(fēng)險(xiǎn)官、首席運(yùn)營官和董事會成為他們最強(qiáng)硬的客戶——同時(shí)也是他們最大的網(wǎng)絡(luò)安全擁護(hù)者。
為了應(yīng)對這些挑戰(zhàn)和提高預(yù)期,企業(yè)應(yīng)該了解關(guān)鍵網(wǎng)絡(luò)事件的實(shí)質(zhì)影響——包括控制和恢復(fù)這些事件的成本。此外,它們必須制定計(jì)劃,隨著時(shí)間的推移提高其網(wǎng)絡(luò)彈性,同時(shí)通過商業(yè)和經(jīng)濟(jì)視角管理其網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露。
本文作者:Christopher Hetner
Christopher Hetner目前擔(dān)任美國企業(yè)董事協(xié)會(NACD)網(wǎng)絡(luò)風(fēng)險(xiǎn)特別顧問和美國國防部分析研究所(U.S. Department of the Treasury)專家顧問。在此之前,他曾擔(dān)任美國證券交易委員會主席的高級網(wǎng)絡(luò)安全顧問。