俄乌战争和SEC新规促使企业董事会加强网络安全监督

2023年1月4日11:55 CST 更新

企业董事会和网络安全负责人料将在新的一年进行更密切合作，以遵守新法规和应对无休止的黑客攻击。黑客进行攻击的目的是窃取数据并破坏业务运营。

乌克兰战争进一步提升网络风险，仍然是企业议程上的重要议题。这场战争正在耗尽俄罗斯和乌克兰的资源。

网络安全公司Proofpoint Inc.的全球常驻首席信息安全官Lucia Milica表示，在许多公司，网络安全管理人士的作用在新冠疫情开始时得到了提升，当时企业迅速转向远程工作，网络攻击的数量增加。

她说：“对很多董事会来说，这算是一个顿悟时刻。”

2023年，预计美国证券交易委员会(Securities and Exchange Commission, 简称SEC)将完成一项提案，要求公司披露有关网络安全监督和攻击的细节，包括哪些董事会成员拥有安全专业知识。美国国家技术安全联盟(National Technology Security Coalition)的执行董事Patrick Gaul称，这些规则将在很大程度上侧重于增加董事会的责任。该联盟为首席信息安全官发声。

在俄罗斯开始入侵乌克兰将近一年来，企业已收到美国政府机构发出的有关公司风险的反复警告。Gaul说，迄今为止的披露内容中还没有任何与俄乌战争有关的针对美国公司的破坏性网络攻击消息，但许多首席信息安全官仍保持警惕。他说，国家技术安全联盟的成员在2022年举行的几次圆桌会议上都讨论了俄乌战争话题。

芬兰北欧银行(Nordea Bank Abp)的首席安全官Marc Hofmann说，董事们对他的工作提出了更尖锐的问题。

他说，董事们想知道北欧银行要如何抵御来自为外国政府效力的黑客的网络攻击。Hofmann和董事会还讨论了一些假想中的情境，他举例说，该行是否需要配置卫星电话，以备某个国家出现通讯中断的情况。Hofmann还说，在过去一年里，他与董事们的互动交流比往年更加频繁。北欧银行主要在北欧经营业务。

他说：“人们的思想正在发生变化，没人能确保自身在民族国家遭到攻击的情况下安然无恙。”

GEC Risk Advisory LLC首席执行官Andrea Bonime-Blanc表示，俄乌战争再加上许多公司因疫情而采用的混合办公模式，促使董事们认真考虑他们所在公司可能面临的网络风险。GEC是一家总部位于纽约的公司，为董事会和高管提供网络安全和风险管理方面的建议。

Bonime-Blanc说，董事会对网络安全的认识“已在缓慢提升，但我认为俄乌之战让他们的头脑变得更为敏锐”。

瑞士弗里堡大学(University of Fribourg)的公司治理学教授Michael Hilb说，一些董事会现在将网络威胁、贸易战和供应链问题并列为可能对企业产生重大影响的风险。

他说：“这对整个网络安全策略产生了影响。规划和可预测性已经改变，他们如何做预算、如何制定战略，是俄乌之战带来的另一间接影响。”

尽管如此，许多大公司的董事会成员并不具备重要的网络专业知识。根据WSJ Pro去年11月发布的一份分析报告，过去10年中，在代表标普500指数成分股公司的4,621名董事中，只有1.9%、相当于86人担任过相关的网络安全专业职位。

根据美国全国企业董事协会(National Association of Corporate Directors)对312名董事的调查，其中约34%的董事认为他们的董事会没有足够的专业知识来对网络安全进行恰当管理。

咨询公司Yass Partners的首席执行官Yael Nagler说，董事会和安全主管之间的沟通漏洞意味着，两方面的沟通有效性都达不到管理网络安全所需的水平。该公司的主要业务是调整安全部门的领导力。

Nagler说，董事们有时不能理解核心威胁。她表示：“他们不是害羞的人，但当涉及到网络问题时，他们感觉自己在问愚蠢的问题。”

她表示，这样一来，首席信息安全官们往往不会花时间去了解董事会的作用以及董事的具体经验和知识。Nagler称，成功的首席信息安全官会在会议前询问董事他们想知道什么，并在会后跟进询问他们是否得到了期望了解的信息。

“安全部门负责人经常等待许可，”她说。“实在没有足够的对话。”