Yahoo奇摩運動 專家傳真-從SEC新規 談企業如何應對網路安全威脅
美國證券交易委員會(SEC)今年3月宣布一系列旨在保護金融系統免受網路安全事件影響的政策,隨後於7月26日頒布規定,要求所有上市公司在確認網路安全事件具有重大影響後的四天內揭露相關資訊。如果美國司法部長認定立即揭露會對國家安全或公共安全構成重大風險,揭露可以最多延遲至60天。這些規定要求企業揭露網路安全事件的性質、範圍、時間及對公司可能造成的實質性影響。此外,企業還需要描述其評估、識別和處理網路安全威脅的流程,並在年報(annual 10-K filing)中揭露這些資訊,包括在進行中的或持續進行的補救措施。
■美最新規定釋出重磅訊號
這些規定最初是在2022年3月所提出的,當時SEC認定企業面臨的網路威脅正在持續升級,隨著企業數位化營運和遠端辦公的增加,網路安全事件對投資人帶來的損失也在增加。
SEC主席Gary Gensler在一份聲明中表示:「不管是企業失火導致工廠損毀,還是網路安全事件導致數百萬筆檔案遺失,這都可能對投資人產生實質性影響。」穆迪投資人服務(Moody's Investors Service)高級副總裁Lesley Ritter表示,這些規定將進一步增加上市企業資訊揭露的透明度,同時也將促進企業網路安全防護措施的改善。
WTW韋萊韜悅提醒,企業網路安全風險管理方面應當注意以下幾點:1、對於所有受SEC監管的上市公司,需確保網路安全保險保障範圍包含監管執法的內容。通常,保單中定義的監管行動包含了監管的執法行動、調查傳票等,與上述監管行動相關的抗辯費用需納入保險的保障範圍。
2、特別需要注意的是,報告網路入侵的四天觀察期是從企業確定入侵具有重大影響時開始計算的。因此,企業內部須擁有強而有力的跨部門協調能力,確保關鍵利益相關者能迅速判斷發生的網路入侵事件是否具有重大影響性,一旦確定,需要即時對該事件的「性質、範圍和時間」進行報告。對於投保了網路安全保險的企業而言,即時發現和報告網路入侵事件,對保險公司也至關重要,即時通知保險公司網路入侵事件可以有效避免延遲通知或不完整的報告導致的保險理賠糾紛和其他潛在的法律風險。
3、為遵守SEC相關規定,上市公司需儘快建立「評估、識別和處理網路安全風險」的回應流程。此外,SEC要求上市公司揭露在網路安全事件同時,需詳述董事會在評估和管理網路安全風險方面扮演的角色及其具備專業知識。因此,從董事會管理層到各級部門,企業都要積極應對和管理網路安全風險。這些變化旨在使企業面對網路安全事件更具韌性,並在首次採購或續保網路安全保險時可提供更好的網路安全風險評估結果,以獲得更有競爭力的保險方案。有效的網路安全回應流程及定期網路安全事件演練至關重要,這將使企業能夠更好地遵守SEC新規定和要求。
■提前做好風險管理方為上策
如果企業有網路安全保險投保需求,保險公司目前都會要求企業滿足特定的網路安全標準,才會提供相關網路安全保險保障。此類網路安全標準可能包括:1、指定網路安全負責人;2、設置適當的特權存取控制;3、員工培訓、演練和訓練;4、實施技術和物理安全控制;5、充分的記錄和文件化程序。
無論企業是否上市,管理與網路安全相關漏洞都應成為每個企業運營韌性戰略一部分。提前做好風險管理是降低處理重大網路安全事件成本的最佳方法之一。通過專業風險管理和網路安全保險計畫,企業可以更好地應對網路安全威脅,保護企業資產和聲譽,維護客戶和投資者的信任,並確保業務的持續穩健發展。
