公司董事會準備好應對網絡安全問題了嗎？我們的調查顯示…… ——《華爾街日報》

wsj

2023-06-07

《華爾街日報》專業版研究總監羅伯·斯隆（左）與研究分析師萊斯利·阿塞博正在討論由《華爾街日報》專業版與美國公司董事協會聯合開展的調研。圖片來源：華爾街日報董事會具備網絡安全監督能力嗎？

隨着企業面臨層出不窮的網絡攻擊，以及人工智能技術可能使攻擊手段變得前所未有的複雜，這個問題的重要性已升至歷史高點。

此外，由於美國證券交易委員會即將在未來幾個月發佈新的網絡安全風險管理規定，董事會應對網絡攻擊的準備情況或將受到空前關注。根據擬議規則，企業必須披露當前重大網絡安全事件並提交報告，同時需對已披露事件提供定期更新。企業還需報告其識別和管理網絡安全風險的政策與程序，並披露具備網絡安全專業背景的董事信息及董事會監督網絡安全風險的具體機制。

《華爾街日報》專業版與美國公司董事協會對472名企業董事開展的聯合調查顯示，各機構應對網絡攻擊的準備程度存在顯著差異。

上週舉行的《華爾街日報》專業版網絡安全在線論壇公佈了關鍵數據點，研究總監羅伯·斯隆與研究分析師萊斯利·阿塞博在會上分享了分析觀點。以下是編輯摘錄：

專業水平

**ACEBO：**沒有人期望董事會成員成為技術專家，也不要求董事會深陷日常運營細節。但美國證券交易委員會（SEC）的擬議規則指出，董事會必須披露哪些董事具備網絡安全專業知識及其專業性質。

這意味着僅聲稱董事會包含網絡專家是不夠的。董事會需要向投資者和公眾提供證明。因此我們詢問受訪者，其所在董事會是否包含網絡安全專家。羅伯，我們的發現是什麼？

**SLOAN：**結果令我非常驚訝。大多數受訪者表示其董事會已設有網絡專家董事。實際上，76%的受訪者表示董事會至少有一名網絡專家，部分甚至更多；19%表示其董事會中有三名及以上網絡專家。近九成的消費品和零售企業擁有專家董事，而能源和公用事業公司中這一比例降至三分之二。

若這些結果接近現實，企業狀況確實良好。但我認為，問題可能在於對"網絡專家董事"的界定不夠清晰。正如諺語所説：盲人國裏，獨眼稱王。

很可能某些不具備專業知識的董事高估了其他成員的技能，而實際上他們可能同樣欠缺相關能力。

董事會影響力

**ACEBO：**上市公司董事會成員的專業水平略優於私營企業。正如預期，大企業比小企業更可能擁有專家資源。

接下來我們來看第二組數據點，這些數據關注網絡安全專家董事的貢獻。我們向受訪者詢問了網絡安全專家董事對其董事會的影響。在62%的情況下，董事會對網絡風險的整體認識有顯著提高：網絡安全專家董事的知識與其他董事共享，從而提高了整體認識。

在57%的情況下，董事會從管理層獲得了更好的網絡風險信息，這可能是因為網絡安全專家董事開始提出問題或從管理層獲取更符合其要求的信息。

約46%的受訪者表示，董事會監督和管理網絡風險的能力有了很大提高。在30%的情況下，擁有網絡安全專業知識的董事導致管理層對網絡安全的方法發生了變化。因此，總體來看，結果非常積極。

斯隆： 然而，並非所有方面都如此樂觀。只有48%的受訪者表示，網絡安全專家董事能夠廣泛參與所有董事會討論。這是專家們經常提出的問題之一，即為什麼招聘首席信息安全官不一定是提高董事會層面網絡監督的答案——因為網絡安全專家有時可能只是“一招鮮”。

同樣令人困擾的是，在近四成的情況下，董事會成員在網絡風險監督問題上會聽從專家的意見。這導致圍繞網絡安全和風險的討論整體減少，並在某種程度上解釋了為什麼並非所有公司的網絡風險意識都有顯著提高。其餘的董事會則乾脆讓指定的專家做出所有決策。

ACEBO: 當被問及董事會應對網絡危機的準備程度屬於基礎、有限、中等、高級還是專家級別時，30%的董事將自家董事會評為高級或專家級別。小型企業準備更不充分。大型企業董事將董事會評為專家或高級的比例是小型企業的兩倍。而小型企業董事將董事會應對網絡危機能力評為基礎或有限級別的比例約為大型企業的三倍。

SLOAN: 行業內部存在顯著差異。數據顯示45%的科技公司受訪者將自家評為高級或專家級別，表現最佳；消費品和零售公司佔比39%；金融服務公司略低，為34%。

表現最差的仍是能源和公用事業公司，僅21%。

重大事件應對

SLOAN: 最後一項數據關於重大事件準備情況。我們詢問上市公司董事：“在發生重大網絡風險或事件後，貴公司董事會對SEC報告和披露要求的明確程度如何？“結果再次凸顯了大、中、小型公司間的差異。

ACEBO: 數據顯示，95%的大型公司董事會清楚重大網絡風險/事件相關的報告披露要求。該比例在中型企業降至81%，小型企業僅為60%。

工業製造、科技和金融服務公司表現最佳。醫療保健、能源和公用事業公司則需最大改進。

我們還詢問了董事們上一次進行以網絡安全為主題的桌面演練的情況，這是一種公認的為事件做準備並發現響應計劃中漏洞的方式。與我交談的一位專家建議董事會至少每年嘗試進行一次演練。但我們的結果顯示，大多數企業未能達到這一標準。在過去12個月內進行過桌面演練的企業包括40%的大型公司、35%的中型公司和25%的小型公司。

三分之二的小型企業從未進行過關於網絡安全的桌面演練，考慮到網絡攻擊可能造成的破壞性和毀滅性，這一點尤其令人擔憂。總體而言，只有7%的企業表示他們每年進行兩次演練。

刊登於2023年6月7日印刷版，標題為《公司董事會準備好應對網絡安全了嗎？我們的調查顯示…》。