中華公司治理協會|TCGA
NEWS
FTSE 100公司在處理重大網絡風險上還做得不夠

【作者】    Shereen Ali
【資料來源】    Financial Director
【發佈日期】    2017年3月14日
【介紹者】    閻書孝研究員/本篇由何佩諸委員審訂
【簡介】   

根據一份Deloitte的報告顯示,網絡犯罪日益嚴重,但從首次針對所有FTSE 100公司的調查看起來,董事會在減少這類風險上,做得還不夠多。

Deloitte的Governance in focus: Cyber risk reporting in the UK這份報告,是使用FTSE 100公司年報的資料編撰而成的。報告顯示,雖然有87%的公司定義網絡為重大風險,但在這些公司裡,僅5%的董事會有具備網絡專業的董事。

FTSE 100的公司大多數都有提到,在他們的產業中網絡安全受威脅的狀況日益嚴重,像葛蘭素史克公司就揭露了,「數名員工被控偷竊公司研究資訊」。

FTSE 100公司裡只有五家並未在年報中提到網絡風險;其中的四家是礦業、一家是建築業。

英國Deloitte的副董事長兼公司治理中心領導人William Touche說,問題不在於是否可能會受到網絡攻擊,可能從未發生過,但問題是公司會在何時、被誰以何種專門的技術來攻擊。

公司認為的重大網絡風險包括犯罪(72%)、資訊科技系統失靈(71%)、資料保護風險(59%)以及資料被盜取或濫用(33%)。

某些公司在年報內會將網絡風險和災難事件風險歸為一類,因為它們都可能造成重大衝擊。

會視網絡為重大風險的公司中,有64%也認為該風險是逐年增加的。

大多數已發生或意識到的網絡犯罪是未經授權而入侵系統(19%),而其他的威脅包括駭客入侵(13%)、惡意軟體(13%)、拒絕服務攻擊(5%)、鎖定目標的詐欺(5%)、恐怖主義行動(3%),另外有些提到外國政府或區域政治的威脅(4%)。

報告建議,公司對所暴露的網絡風險類型若有更細節的揭露,會有助於向投資人與利害關係人團體說明,董事和管理階層已瞭解企業所面臨到的威脅,更能因此發展出適當的處置策略。

公司認為網絡風險的衝擊前三名為:可能中斷營運、聲譽受損以及財務損失。而財務損失在分類上,是不同於因盜竊或詐欺所造成的資金挪用。

根據研究,也有重要的少數公司表示,可能會有因未遵循監理而導致的罰款及其他法律後果,比如契約損失或無法達成契約規定的義務。

Deloitte的報告還調查了,董事會如何處理在公司年報裡所指出的網絡風險。

報告發現,雖然FTSE 100公司有87%確認了網絡安全為公司主要風險之一,但不到11%的公司有在公司治理聲明中提及網絡安全。

儘管高階經理人與董事會有注意到網絡風險,但令人驚訝地,如果觀察FTSE 100公司的執行董事或非執行董事,被說是有網絡安全經驗,或頭銜是資訊長、科技長、資安長或資訊科技董事的,在FTSE100公司裡只有5%是有資訊科技專業的董事。

Regester Larkin 的合夥人Dominic Cockram觀察到:有鑒於新聞中出現這麼多網絡安全的事件,董事會已經開始瞭解到他們所面對的複雜性及聲譽風險;然而,對某些董事會而言,這個多變、通常涉及科技而總是複雜的問題,仍未有清楚的權責歸屬。

他說,很多公司或許會設置資安長、科技長或資訊長,但在董事會的領導層面來看,仍缺乏適當程度的同理心、究責性與威信力。

Deloitte的報告也揭示了,網絡安全是最常會被審計或風險委員會討論的事宜。然而幾乎在每個個案中,依據年報裡面所彙總的職權範圍,網絡安全並不會被特別歸為是這些委員會中任何一個要處理的問題。

Deloitte的報告裡也表示,有關網絡威脅的溝通很少,有39%的FTSE公司董事會或委員會每年會聽取一次關於網絡安全的報告,而只有18%公司揭露會「定期」更新網絡安全的報告,其頻率從每月一次到一年兩次都有。

考量到網絡犯罪風險及其對企業的衝擊,很自然地公司會非常快地跟著採取改善行動。

然而,只有11%的FTSE 100公司提到,他們在去年有設立新的職務或單位來處理網絡風險,而只有27%的公司年報有清楚定義由哪個職務或團隊負責網絡安全。

FTSE 100公司一直都積極研擬計畫來處理網絡風險,超過半數公司在年報中有提到應變計畫、危機管理或災害復原計畫,但是其中只有58%的公司有於年度內實際測試這些計畫。

只有29%的公司會在自己內部提到它們有網絡和資料安全的內部政策,而同時只有8%的公司有提到會更新內部政策以涵蓋網絡安全。

再加上僅38%的公司有提到內部控制是降低網絡風險的要素,並且只有7%的公司有揭露為網絡風險而改善的內部控制。

2016年Regester Larkin的調查顯示,近半數的公司溝通團隊並未有網絡溝通計畫或綱領以適當處理網絡事件。這更進一步強化了董事會層級關注的需要。

其他的重點措施,還包括員工與董事會的訓練、網絡保險、外部認證、系統測試,以及系統與弱點的持續監督。只有9%的FTSE 100公司有揭露對網絡風險會作外部認證。

Easyjet提到,「每季的弱點掃描」,是持續監督的一個好例子。

William Touche寫到,由於網絡風險的重要性、持續的演變及潛在影響的規模,因此Deloitte希望每個董事會議程都能將這個領域列為重點項目。

英國國家網絡安全中心(National Cyber Security Centre)的執行長Ciaran Martin說,新的機會伴隨著新的弱點。因此當人們可以處理、加工及儲存的資料達到空前的規模時,所要承受的風險也是空前的。

【網址連結】
https://www.financialdirector.co.uk/2017/03/14/ftse-100-companies-not-doing-enough-to-tackle-cyber-risk/
BACK PAGE
TOP