【資料來源】    BBC
【發佈日期】    2017年 2月 9日
【介紹者】    閻書孝研究員
【簡介】   

根據一份新的研究顯示，在受到網絡攻擊後應該由誰負責，英國大公司對這件事一直混淆不清。這個研究是由英國航太系統公司(BAE Systems)執行、針對財富500公司進行全球性的調查，其中有984位負責資訊科技的經理人以及221位高階經理人回覆。

該研究指出，在公司的資料被入侵後，高階經理人都希望由負責資訊科技的幕僚處理，但是負責資訊科技的經理人(technology bosses)認為，應該是董事會負責才對。

英國航太系統公司說，如此的混淆，會讓公司更易於遭受網絡攻擊。

英國航太系統公司負責網絡威脅部門的主任Adrian Nish說，當遭受入侵後，兩方都會認為是對方的責任，這就突顯出了認知上的差異。

研究指出，有50％的負責資訊科技的幕僚認為，當公司被駭客入侵而決定如何回應與復原時，應該是由董事會負責領導。相對的，超過三分之一的執行長質疑，應該由負責資訊科技的幕僚清除、解決問題並提高防禦措施才對。

Nish說，不管是大公司或小公司遭受到攻擊時，若董事會與資訊科技幕僚存在觀念落差，勢必會造成公司一片混亂，而這絕對會讓公司無法準備好面對隨時可能的攻擊。

根據該研究，高階經理人與資訊科技公司經理人兩方對資料入侵所造成損失的估計差異很大，亦即對網絡被入侵後的成本認知，差異也很大。

資訊科技公司經理人認為，入侵後平均會耗費公司的成本約為190萬美元（150萬英鎊）。這項估計包括罰金、法律費用、復原費用以及客戶的賠償。相對的，高階經理人(董事會成員)認為的成本是1160萬美元（920萬英鎊）。

身為資訊科技許可機構的英國電腦協會(BCS)的理事Adam Thilthorpe說，不管是媒體、製藥的公司，或者是慈善機構，營運都會與資訊科技有關。但是很多董事會成員認為，網絡安全與董事無關。

在談到2015年對電信公司TalkTalk的網絡攻擊時，他說，要出現多少起類似TalkTalk的事件，董事會才會瞭解到這是自己的責任？

英國董事協會的公司治理部主任Oliver Parry說，企業應該關注免於受到網絡威脅的「預防措施」。一如其他關於營運的重大風險一樣，擬定對策應該是董事會的責任。

他說，維持網絡安全唯有來自於公司文化中的良好實務作法，而且從公司高層開始。光靠某個系統、或某個人，是無法預防網絡攻擊的威脅。

【網址連結】
http://www.bbc.com/news/technology-38907073