【作者】    Matt Hamblen
【資料來源】    Computer World
【發佈日期】    2016年 12月 26日
【介紹者】    閻書孝研究員
【簡介】   

專家說，執行長、董事會成員都需要為網絡安全做好準備，不要把這個問題丟給資訊長。

各種規模的組織，幾乎每週都會發生嚴重的網絡攻擊。在12月14日，雅虎宣布發生規模最大的數據外洩事件，涉及到10億筆客戶的帳戶。

儘管這種攻擊涉及的規模與潛在損害都很大，但是一般人的認知是，公司領導人、特別是董事會，都還沒有為防衛這種攻擊時採取什麼必要行動。其實不只是找到正確網絡防衛工具與服務的問題，還包括公司高層(也就是公司董事會)的管理意識與安全敏銳度問題。

長期提供很多組織網絡安全顧問的高德納(Gartner)分析師Avivah Litan說，美國各種規模的企業與政府機關，都處於各式各樣敵人攻擊的威脅，一般來說並未準備好管理並抵禦這些威脅。

他說，雖然某些組織做得比其他還好，但是不管是政府或私人部門，這些組織往往是由資訊長、資安長或營業線經理人所領導的，而不是由董事會、執行長與管理階層。

Litan說，現在需要的是國家級的回應與網絡保護計畫，但是她也擔心，美國聯邦政府「要達到這個目標的實際進展方法太沒有條理與政治化」。

她補充說，現在對國家基礎建設的威脅（包括輸電網路）是非常嚴重的。除非高階經理人、公司董事會與其他資深的利害關係人合作，否則威脅者還是會勝利。不過她不確定美國還需要多少喚醒意識的呼籲。

Litan的呼籲似乎有被某些公司治理社群所接受。全美國公司董事協會(NACD)最近發佈一份針對超過600名董事與專業人士的調查，發現僅19％的受訪者認為董事會對網絡風險有高度瞭解。這一點比起前一年調查的11％有所進步。

調查也發現，有59％的受訪者認為，要監督網絡風險是一個挑戰。具有1.7萬名會員的非營利組織NACD現在正與維安意識公司Ridge Global和卡內基梅隆大學合作，開發了一個網路風險監督課程(Cyber-Risk Oversight program)來教育董事關於網絡攻擊的系統風險。

Litan說，這個教育很重要，但是她也支持州法與聯邦法，要求組織報告網絡攻擊，並讓客戶與合夥人知道，要為了保護敏感數據而變更密碼及做其他調整。

Litan說，要求公司揭露是強化預防未來攻擊最好的方式。沒有人想讓自己的名字出現在這類的新聞上，而董事實際上最該擔心的，也就是登上這類的新聞。

美國大多數的州都有數據洩漏通知的法律，但是到現在為止，還沒有國家級的法律。加州是第一個在2003年實施通知法的州，其他州之後也跟進。

歐巴馬總統在2015年就已經提出類似的法案，在聯邦層級，雖然一些參議員已經表態支持通知法，但是參議院並未通過任何一項法案。而在2017年一月當川普擔任下一屆總統時，聯邦的數據洩漏通知法是否會在未來四年生效？還是要更久的時間？還是有待觀察。

當雅虎在九月揭露駭客攻擊的數據可回溯至2014年時，美國參議員沃納(Mark Warner)呼籲兩黨支持訂定統一數據洩漏通知標準的法案，並由兩黨參議員合組網絡安全核心小組。沃納當時說，國會早就應該訂定統一的數據洩漏通知標準。

【網址連結】
http://www.computerworld.com/article/3150960/cyberattacks/corporate-boards-arent-prepared-for-cyberattacks.html