董事會如何提升對網路安全的有效督導
近日發生有關敎育部不慎將大學升學的「學習歷程檔案」遺失事件,點出資安防護漏洞中較少被提及「第三方及供應鏈風險管理」的問題。
根據〈Hiscox Cyber Readiness Report 2019 網路就緒報告〉針對歐洲、英國及美國的5,400家企業調查發現:
- 65%的受訪者過去一年遭受至少一次或一次以上經由供應商連結入侵的網路攻擊。
- 75%的科技、媒體、通訊業及交通運輸產業成為透過供應商連結的攻擊目標。
- 超過一半的受訪者將網路安全KPI列入與供應商合約中。
- 74%的受訪者表示至少每一季會評估供應商的網路安全性。其中一個無可避免的第三方供應商正是雲端服務。
依據〈IBM Cost of a Data Breach Report 2021〉指出網路攻擊的入口載體(Initial attack vector)排名第三正是雲端配置錯誤(Cloud misconfiguration)比例達19%,緊追其後正是第三方軟體漏洞(Vulnerability in Third-party Software)比例為16%。
我曾針對上市公司風險長(Chief Risk Officer, CRO)法務長(Chief Legal Counsel)與法遵長(Chief Compliance Officer)在類似事件中、涉及第三方風險管理,提出七項個資(Personal Identifiable Information, PII)保護措施。
本文試著討論董事會層級(Board level)可以扮演的角色為何?
一直以來許多的上市公司董事反映出針對資安議題的無力感,一方面IT,資安專業知識不足;另一方面外在環境變化無常,例如網路攻擊手法、法令規範及監理要求等等。因此往往只能「聽取」報告後「同意」,無從深入討論、更無法給予管理高層任何洞悉意見(Insight)。
2020年美國全國企業董監事協會NACD針對資安治理(Cybersecurity governance)提出了五大原則分別如下:
一、應將網路安全定位為戰略性企業風險而不僅僅是IT風險。
二、應了解與公司特定情況相關的網路風險之法令規定與含義。
三、擁有足夠的網絡安全專業知識並在董事會議程中定期且充分的討論風險管理。
四、董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。
五、管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identification and Quantification),以及接受、減輕或轉移哪些風險的個性別計劃?(例如藉由保險安排)
其中第三項原則,正是目前董事會普遍面臨的一個痛點,更糟的情況是由於資安專業知識不足,董事會甚至有意無意優先討論其他的議題,實務上改善之道取決於公司治理主管的意志,公司治理主管可以藉由舉辦專題研討會(Workshop)及執行會議(Executive sessions),安排外部顧問協助董事會成員提升資安治理,包括討論議題設定、國內外最新網路安全趨勢、風險預防,尤其針對其身處產業。一般執行會議地點會選在類似於渡假飯店,並且沒有經理人在場,同時不受時間限制,得以充分溝通。
其實董事會可以著力之處甚多,只是缺乏架構及方向。
建議可以參考「網路就緒模型(Cyber Readiness Model, CRM)」(如圖),網路就緒模型可衡量個別企業依據員工規模、預算分配,與對應之最佳實務的接近程度。
資料出處:Hiscox Cyber Readiness Report 2019
模型的X軸代表策略面表現,由督導(Oversight)及資源分配(Resourcing)二者組成。策略面正是董事會資安治理的主戰場。
模型的Y軸代表執行面表現,由技術(Technology)與流程(Process)二者組成。執行面可委由資訊長、資安長主導,協同法遵長、法務風險長甚至企業溝通等部門。
X、Y二軸不可偏廢,而是相互支持,居中扮演溝通、統整樞紐角色不是公司治理主管,就應該是財務長。
礙於篇幅,評分機制先略過不談,CRM依策略面及執行面的表現評分,若二個軸線得分皆4分以上(滿分5分),歸屬專家級(Expert),若是僅有一個軸線4分以上則屬於中間者(Intermediate),二軸都未達4分則是新手級(Novice)。
那麼CRM的實用價值如何?
舉一個例子,在事後緊急救援成本,Expert級公司遠低於Imtermediate級公司。此外Expert級公司佔比從2018年的11%提高到2020年的18%,Novice級公司則由73%降到64%。
最後以資源分配(Resourcing)為例,說明董事會應該怎麼做才能避免錯誤?
提到資源分配一般直覺反應就是增加IT預算,但其實更重要的是合宜的預算高低及如何分配?
首先合宜的IT預算與所屬產業特性、企業規模及目標级別息息相關。相同產業、規模接近的二家公司,目標級別設定為Expert級必然比Intermediate級公司有更高的IT預算。
其次是資安預算佔IT總預算的比例,近年來的趨勢是佔比明顯提高,尤其是Expert級公司,將24%的IT預算用於網路安全。
最後是資安預算的分配比例,趨勢是新的安全技術(New security technology)比例下降,網路安全人員培訓、網路安全人員配置比例皆提高,尤其是第三方顧問服務比例明顯增加,以及增添資安保險比例提高7%。
其實只要框架建立、包括管理框架與技術框架,並緊盯著國際網路安全與資安治理趨勢,加上外部資安風險顧問協助,台灣上市公司董事會也可迅速提升NACD建議的原則三-「擁有足夠的網絡安全專業知識並在董事會議程中定期且充分的討論風險管理」,甚至連原則四-「董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算」也一併到位!
倍安保險董事長 黃志明
圖片來源:攝影師:Tiger Lily,連結:Pexels