遭到网络攻击后，企业董事会应该承担责任吗？

2022-11-19

网络攻击风险正在持续增大，企业有必要考虑，如果遭到网络攻击，公司的董事会是否需要为未采取有效防护措施，降低网络安全风险而承担责任。本文旨在为组织的董事会成员提供一些建议，理清企业在网络攻击之前、期间和之后应采取的行动。

网络攻击损失不容小觑

据研究数据显示，2022 年数据泄露给企业造成的平均损失为 435 万美元；如果是勒索软件攻击，损失将增加到 454 万美元。当然这只是估计，在某些国家或地区平均损失更高，比如在美国，损失接近 1000 万美元。

此外，网络攻击对组织业务运营造成的后果不仅是危及客户和员工的个人数据这一个维度。计算机系统被攻击者加密还会使业务运行陷于停顿，一方面是由于攻击通常发生在企业响应准备最不充分的时候，比如圣诞节、夏天旺季和周末，如果加密的数据无法恢复，生产线、商店、电子商务网站及所有业务运营统统陷入停顿。同时，企业还将面临惩罚和罚款的风险，因为不仅要遵守隐私和数据保护法律，还要遵守如今各种网络安全法规。

董事会的义务和责任

鉴于网络攻击会给企业造成极大的损失，企业董事会（尤其是上市企业）必须监督企业为防止网络攻击采取行动，并在攻击发生后能迅速采取纠正措施。但遗憾的是，只有少数企业做到。这不仅仅是建议部署安全措施的问题，因为 95% 的网络攻击是人为错误造成的，需要加强每个员工的安全意识教育。

日常的网络风险分析也是安全培训工作和组织控制流程审查的重要组成部分。不可能完全排除网络攻击的风险，因为网络犯罪分子总是比受害者抢先一步。企业必须能够通过网络安全合规计划证明已经采取了隐私和网络安全法规要求的所有措施，这就需要具备复杂的法律和技术知识，因为举证责任将由企业承担。

此外，购买网络安全保险可以在一定程度上减小安全攻击事件对企业造成的负面经济影响，并让企业可以依赖事件响应系统和保险公司提供的专家顾问服务。

遭到网络攻击时

董事会该如何做？

根据经验，如果遭到重大网络攻击，企业的首席执行官、总经理和董事会都应该立即介入，因为网络攻击给企业带来的风险非常高。

从董事会责任的角度来看，遭到网络攻击最糟糕的情况包括：

上述行动已在董事会上讨论过，但尚未采取任何行动；

采取了风险分析措施，也发现了信息系统的薄弱环节，但企业没有及时消除这些薄弱环节；

企业意识到了这些问题，但并没有支付费用来购买涵盖网络风险的保单；

为此，董事会将不得不做以下工作：