全球风险管理专业人士协会(GARP)致力于为风险管理条线上的各级人员,包括各大金融机构的风险从业者和监管机构人员提供风险教育和最新行业资讯。GARP China微信公众号将持续转载“GARP Risk Intelligence”系列文章,介绍科技、企业文化与治理、能源等领域对操作风险、信用风险、市场风险和资产负债管理的影响。让我们一起全面认识风险,防范风险,化解风险。
网络安全和数据隐私泄露正在造成巨大的经济和声誉损害,这是目前许多企业面临的问题,而这个问题须由高管和董事会妥善解决。针对网络问题,监管格局发生了怎样的变化?银行可以采取哪些步骤来改善它们的网络风险防御以及建立更多的网络安全文化意识?
每一年,网络犯罪都变得更快、更容易、成本更低,使得各种公司——包括银行——比以往任何时候都更容易受到攻击。到2021年,网络犯罪造成的损失预计将达到每年6万亿美元。为了阻止这样的攻击,银行在网络安全上花费了数千亿美元,监管机构也理所当然地加大了力度。
在美国,联邦监管机构大幅提高了与网络安全和数据隐私相关的处罚。在过去的几年中,许多监管机构——如联邦贸易委员会、联邦通信委员会、证券交易委员会(SEC)和卫生与公众服务部——已经开出了2500万美元到50亿美元不等的罚款。
不断变化的监管格局与经济和技术变革不谋而合,经济和技术变革正在帮助新的网络安全意识在全球所有行业的董事会和高管层中扎根。今天的企业网络安全领导必须从最高层开始——包括董事会、企业风险主管和首席执行官。
实际上,董事会成员现有的监管义务包括了解公司的网络风险,并采取积极措施缓解这些风险。此外,管理层和董事会必须定期进行财务评估,并提前向股东披露所有潜在的网络风险。
虽然这一现实给首席执行官和其他高管带来了新的压力,但它也为那些建立网络风险意识文化的公司提供了机会,使自己有别于竞争对手,并获得竞争优势。这代表着与过去的不同,过去首席执行官们在所有与网络安全相关的事情上都依赖CTO、CIO或CISO。此外,就在五年前,许多公司的网络安全措施还仅限于基本流程,比如要求用户输入复杂的密码并定期修改密码。
随着科技的进步,智能手机在全球范围内激增,人们越来越多地使用智能手机进行金融交易和其他敏感功能。事实上,今天至少有30亿人(超过全球人口的40%)使用智能手机。
此外,据世界经济论坛(WEF)称,潜在的“网络攻击面”已被物联网(IoT)放大。“据估计,目前全球已有210多亿台物联网设备,到2025年,这一数字将翻一番。”世界经济论坛在最近的一份报告中表示:“2019年上半年,对物联网设备的攻击增加了超过300%……而物联网设备被用作媒介的风险预计将会增加。”
演变中的规则:过去、现在和未来
通过这种数字化转型,网络风险监管在规模和严格程度上都得到了爆炸式的发展。直到几年前,SEC还集中在上市公司披露网络安全风险的义务上——主要是通过事后报告。然而,在2018年2月,它加强了自己的监管,要求董事会成员和高管对其公司的网络风险承担更直接的责任。
在此指导下,董事会成员有义务了解其公司的网络风险,并采取积极措施减轻这些风险。管理层和董事会现在还被要求定期进行财务评估,并提前披露与所有潜在网络风险有关的信息。
SEC的指导方针的部分目的是帮助企业更好地理解网络事件相关的经济影响,并更好地向内部和外部利益相关者传达有关其网络安全有关的指标。同时他们也使公司进一步将网络安全风险整合到企业风险管理计划中,并通过关注投资回报(或业务实现)来优化网络安全。
如前所述,遭受网络入侵的公司会受到监管机构的严厉惩罚。但我们目前看到的只是个开始。在未来几年,我们可以预期,SEC在未来将会对向股东准确披露网络风险相关事项进行更严格审查和问责。
在整个监管格局中,我们可以预期会出现更多实质性罚款和更多执法命令——这可能会对金融机构的声誉造成更大损害。在美国,联邦和州一级的监管审查都在加强。例如,纽约州等州已经开始实施自己的网络安全相关惩罚措施。
网络安全中的角色:从董事会到CEO和CRO
在这种环境下,董事会成员和企业风险主管——如首席执行官、首席财务官、首席合规官和首席风险官(CROs)——成为网络安全团队的关键成员至关重要;否则,他们就会把自己和雇主置于极大的风险之中。事实上,当他们利用自己的领导角色,在整个企业范围内整合资源、引导注意力和提供网络指导时,他们最能为自己、股东和员工服务。
董事会的大局观赋予了他们独特的整体视角,以减少竖井、集中资源、管理风险和推动投资。
对于公司来说,新的法规能够促进各行各业实施有关网络安全的良好措施。例如,许多首席执行官已经明白,你无法管理你无法衡量的东西。他们认识到必须了解公司有关网络安全的重要信息——比如客户数据、专有信息和与之相关的关键业务流程。更重要的是,他们意识到必须保护这些资产不受网络对手攻击所造成的业务中断的影响。
建立网络安全意识文化
无论董事会的参与意味着对网络安全的新的关注程度,还是仅仅意味着更多的监管,它往往会带来新的资源。随着网络安全成为商界高层领导人最关心的问题之一,支出也随之增加:预计全球网络安全支出今年将达到1,730亿美元,到2026年将增至2,700亿美元。
如果指导得当,这项投资将用于建立良好的“网络卫生”和加强强大的网络风险文化的基本防御措施。这包括掌握基础知识——例如,管理供应链敞口;整合企业范围的安全;保持基本技术卫生;识别及载有网络事件的资料;定期进行风险评估、评估和演习;以及改进操作弹性和业务支持。
做好这些事情需要(1)深思熟虑,在整个企业范围内重视安全和问责制文化;(2)深入的专业知识,在组织上下部署;(3)致力于引进和培养合适的人才。
在对收购或合作进行尽职调查时,网络威胁也可能是最重要的风险因素之一。事实上,在一项对交易撮合者的调查中,90%的人表示网络入侵可能会降低交易价值,83%的人表示他们可能会终止交易。这就是为什么美国证券交易委员会(SEC)的2018年网络指导中有针对私营公司和上市公司的部分。
进一步思考
网络风险曝光对高层领导以及他们所服务的客户和社区而言是一场声誉灾难。
网络安全公司治理进入了一个新时代,为企业领袖带来了新的机遇和资源。在今天的环境下,首席执行官们应该期待他们的首席财务官、首席风险官、首席运营官和董事会成为他们最强硬的客户——同时也是他们最大的网络安全拥护者。
为了应对这些挑战和提高预期,企业应该了解关键网络事件的实质影响——包括控制和恢复这些事件的成本。此外,它们必须制定计划,随着时间的推移提高其网络弹性,同时通过商业和经济视角管理其网络风险暴露。
本文作者:Christopher Hetner
Christopher Hetner目前担任美国企业董事协会(NACD)网络风险特别顾问和美国国防部分析研究所(U.S. Department of the Treasury)专家顾问。在此之前,他曾担任美国证券交易委员会主席的高级网络安全顾问。
