隨着董事會更加關注網絡安全，他們是否忽視了最大的威脅之一？——《華爾街日報》

大多數企業似乎並未指導董事如何預判、應對或規避針對他們的網絡攻擊。插圖：喬恩·克勞斯董事會成員正為其監管企業的網絡安全戰略承擔更多責任，但他們可能忽略了組織最脆弱的環節之一——他們自身。

我們在對數十家不同企業和行業的董事進行系列訪談與調研時，揭示了這個令人不安的事實。這是我們關於董事會與網絡安全議題的廣泛研究的一部分。

過去十年間，網絡安全監督已成為董事會的附加職責，董事們需更負責確保組織建立抵禦攻擊的堅固防線。這意味着董事如今不僅能接觸大量敏感數據，還可獲取企業網絡防禦的詳細戰術信息。

儘管如此，董事們傳統上並未被納入企業網絡安全防護範圍。我們調研的大多數企業也未曾指導董事如何預判、應對或規避網絡攻擊。

結果就是：這些負責確保企業安全防護的董事會成員本身，很可能成為組織網絡防禦中最薄弱的環節。

毫無防備

企業高管可通過技術主管彙報、模擬攻擊的桌面推演、關鍵網絡安全指標報告等方式讓董事會了解企業防護準備。但所有這些措施都未幫助董事建立抵禦針對其個人攻擊的韌性。

毫無疑問，他們處於獨特的脆弱境地。例如，根據我們所做的研究，我們知道許多董事會成員幾乎完全遠程工作，這意味着他們通過電子方式共享大量敏感信息。此外，董事通常不參與——因此也無法受益於——那些有助於讓公司員工保持網絡安全意識的培訓項目、定期溝通和非正式的茶水間討論。由於董事會可能僅定期收到網絡安全狀態更新，董事們可能需要一段時間才能識別並充分理解新興威脅，比如人工智能驅動的網絡攻擊，以及這些攻擊如何被用來針對他們個人。

幾位董事會成員告訴我們，一些董事使用公共電子郵件賬户——而不是官方或加密的消息系統或文檔管理平台——來共享董事會信息和通信。一位董事評論説，她認為董事會用於共享會議文件的平台是安全的，但她並不十分確定。

其他董事會成員表示，雖然他們會收到關於諸如員工測試釣魚郵件失敗率等有限簡報，但他們自己從未接受過關於如何加強個人防護的培訓。還有一些人報告説，儘管對網絡安全的關注日益增加，但許多董事會中並沒有一位具有網絡安全背景或接受過正式網絡安全培訓的董事，可以幫助其他董事會成員為針對性攻擊做好準備並做出響應。

可以採取哪些措施？

鑑於這種風險，董事會可以採取哪些措施？

首先，針對普通員工的網絡安全教育培訓項目可調整為面向董事定製化設計。

其次，定製化的桌面演練——讓董事會成員模擬應對假設性網絡攻擊事件——能有效提升董事對直接攻擊的識別與防範能力。這種沉浸式演練會激發參與者的情緒反應，使其比常規討論更投入地思考真實攻擊中的應對策略。

第三，企業可將董事納入釣魚郵件模擬測試，通過發送虛假郵件評估其反應，並據此開發針對性培訓工具。這類模擬攻擊及後續培訓可專門為董事羣體量身定製。

最後，一對一專家輔導可能是最高效的培訓方式，由安全專家根據每位董事的個性化需求和時間安排提供專屬指導。

當前幾乎所有網絡安全資源都集中於保護企業實體（員工、管理層、業務流程及技術等），但董事羣體同樣需要納入安全防護體系。隨着董事會承擔企業網絡安全戰略監督職責的法定要求不斷增強，我們必須採取更多措施來守護這些"守護者"。

傑弗裏·普勞德富特任本特利大學副教授，同時擔任MIT斯隆網絡安全研究中心(CAMS)研究員；克里·珀爾森為CAMS執行主任；斯圖爾特·馬德尼克作為CAMS創始主任亦參與本研究。作者聯繫方式：[email protected]。