遭到网络攻击后，企业董事会应该承担责任吗？

网络攻击风险正在持续增大，企业有必要考虑，如果遭到网络攻击，公司的董事会是否需要为未采取有效防护措施，降低网络安全风险而承担责任。本文旨在为组织的董事会成员提供一些建议，理清企业在网络攻击之前、期间和之后应采取的行动。

网络攻击损失不容小觑

据研究数据显示，2022年数据泄露给企业造成的平均损失为435万美元；如果是勒索软件攻击，损失将增加到454万美元。当然这只是估计，在某些国家或地区平均损失更高，比如在美国，损失接近1000万美元。

此外，网络攻击对组织业务运营造成的后果不仅是危及客户和员工的个人数据这一个维度。计算机系统被攻击者加密还会使业务运行陷于停顿，一方面是由于攻击通常发生在企业响应准备最不充分的时候，比如圣诞节、夏天旺季和周末，如果加密的数据无法恢复，生产线、商店、电子商务网站及所有业务运营统统陷入停顿。同时，企业还将面临惩罚和罚款的风险，因为不仅要遵守隐私和数据保护法律，还要遵守如今各种网络安全法规。

董事会的义务和责任

鉴于网络攻击会给企业造成极大的损失，企业董事会（尤其是上市企业）必须监督企业为防止网络攻击采取行动，并在攻击发生后能迅速采取纠正措施。但遗憾的是，只有少数企业做到。这不仅仅是建议部署安全措施的问题，因为95%的网络攻击是人为错误造成的，需要加强每个员工的安全意识教育。

日常的网络风险分析也是安全培训工作和组织控制流程审查的重要组成部分。不可能完全排除网络攻击的风险，因为网络犯罪分子总是比受害者抢先一步。企业必须能够通过网络安全合规计划证明已经采取了隐私和网络安全法规要求的所有措施，这就需要具备复杂的法律和技术知识，因为举证责任将由企业承担。

此外，购买网络安全保险可以在一定程度上减小安全攻击事件对企业造成的负面经济影响，并让企业可以依赖事件响应系统和保险公司提供的专家顾问服务。

遭到网络攻击时

董事会该如何做？

根据经验，如果遭到重大网络攻击，企业的首席执行官、总经理和董事会都应该立即介入，因为网络攻击给企业带来的风险非常高。

从董事会责任的角度来看，遭到网络攻击最糟糕的情况包括：

• 上述行动已在董事会上讨论过，但尚未采取任何行动；
• 采取了风险分析措施，也发现了信息系统的薄弱环节，但企业没有及时消除这些薄弱环节；
• 企业意识到了这些问题，但并没有支付费用来购买涵盖网络风险的保单；

为此，董事会将不得不做以下工作：

• 分析需要采取的纠正措施，尽量降低网络攻击的负面影响；
• 评估攻击造成的经济影响，包括可能面临的惩罚，是否需要通知股东，并留出预算；
• 决定是否应该将事件上报主管部门，并告知数据被泄露的个人。

遭到勒索软件攻击后，通常需要与网络犯罪分子进行谈判，以争取时间、降低赎金，并获得保险企业的批准。在大多数情况下，企业会设法避免支付赎金，因为：

• 取决于所在地区以及威胁分子的身份，支付赎金可能是非法的；
• 支付赎金并不能保证数据会被解密，这还需要分析威胁分子的声誉和以往表现；
• 这可能会造成企业声誉受损。

然而在数据备份副本都已加密并且无法恢复的情况下，如果不违反当地法规，企业可能需要考虑支付赎金，此时需要考虑如何让董事会批准支付赎金。

除了满足监管报告要求外，如何向公众通报网络攻击事件也是很棘手的事情。企业不能矢口否认发生的一切。黑客通常有自己的网站，还有一些网站专门披露相关的信息。此外，威胁分子很可能在暗网上公布泄露的数据，以提供泄露的证据。因此，有必要确保公众在从媒体获悉网络攻击之前先从企业获悉，那样才能继续获得信任。