?網絡攻擊風險正在持續增大，企業有必要考慮，如果遭到網絡攻擊，公司的董事會是否需要為未采取有效防護措施，降低網絡安全風險而承擔責任。本文旨在為組織的董事會成員提供一些建議，理清企業在網絡攻擊之前、期間和之后應采取的行動。

網絡攻擊損失不容小覷

據研究數據顯示，2022年數據泄露給企業造成的平均損失為435萬美元；如果是勒索軟件攻擊，損失將增加到454萬美元。當然這只是估計，在某些國家或地區平均損失更高，比如在美國，損失接近1000萬美元。

此外，網絡攻擊對組織業務運營造成的后果不僅是危及客戶和員工的個人數據這一個維度。計算機系統被攻擊者加密還會使業務運行陷于停頓，一方面是由于攻擊通常發生在企業響應準備最不充分的時候，比如圣誕節、夏天旺季和周末，如果加密的數據無法恢復，生產線、商店、電子商務網站及所有業務運營統統陷入停頓。同時，企業還將面臨懲罰和罰款的風險，因為不僅要遵守隱私和數據保護法律，還要遵守如今各種網絡安全法規。

董事會的義務和責任

鑒于網絡攻擊會給企業造成極大的損失，企業董事會（尤其是上市企業）必須監督企業為防止網絡攻擊采取行動，并在攻擊發生后能迅速采取糾正措施。但遺憾的是，只有少數企業做到。這不僅僅是建議部署安全措施的問題，因為95%的網絡攻擊是人為錯誤造成的，需要加強每個員工的安全意識教育。

日常的網絡風險分析也是安全培訓工作和組織控制流程審查的重要組成部分。不可能完全排除網絡攻擊的風險，因為網絡犯罪分子總是比受害者搶先一步。企業必須能夠通過網絡安全合規計劃證明已經采取了隱私和網絡安全法規要求的所有措施，這就需要具備復雜的法律和技術知識，因為舉證責任將由企業承擔。

此外，購買網絡安全保險可以在一定程度上減小安全攻擊事件對企業造成的負面經濟影響，并讓企業可以依賴事件響應系統和保險公司提供的專家顧問服務。

遭到網絡攻擊時，董事會該如何做？

根據經驗，如果遭到重大網絡攻擊，企業的首席執行官、總經理和董事會都應該立即介入，因為網絡攻擊給企業帶來的風險非常高。

從董事會責任的角度來看，遭到網絡攻擊最糟糕的情況包括：

• 上述行動已在董事會上討論過，但尚未采取任何行動；
• 采取了風險分析措施，也發現了信息系統的薄弱環節，但企業沒有及時消除這些薄弱環節；
• 企業意識到了這些問題，但并沒有支付費用來購買涵蓋網絡風險的保單；

為此，董事會將不得不做以下工作：

• 分析需要采取的糾正措施，盡量降低網絡攻擊的負面影響；
• 評估攻擊造成的經濟影響，包括可能面臨的懲罰，是否需要通知股東，并留出預算；
• 決定是否應該將事件上報主管部門，并告知數據被泄露的個人。

遭到勒索軟件攻擊后，通常需要與網絡犯罪分子進行談判，以爭取時間、降低贖金，并獲得保險企業的批準。在大多數情況下，企業會設法避免支付贖金，因為：

• 取決于所在地區以及威脅分子的身份，支付贖金可能是非法的；
• 支付贖金并不能保證數據會被解密，這還需要分析威脅分子的聲譽和以往表現；
• 這可能會造成企業聲譽受損。

然而在數據備份副本都已加密并且無法恢復的情況下，如果不違反當地法規，企業可能需要考慮支付贖金，此時需要考慮如何讓董事會批準支付贖金。

除了滿足監管報告要求外，如何向公眾通報網絡攻擊事件也是很棘手的事情。企業不能矢口否認發生的一切。黑客通常有自己的網站，還有一些網站專門披露相關的信息。此外，威脅分子很可能在暗網上公布泄露的數據，以提供泄露的證據。因此，有必要確保公眾在從媒體獲悉網絡攻擊之前先從企業獲悉，那樣才能繼續獲得信任。?