网络安全风险变得更加系统性和严重性。虽然网络攻击对企业的短期影响相当严重,但长期影响可能更为重要,例如竞争优势的丧失、信用评级的降低和网络保险费的增加。他们不应该被忽视。为了有效地解决这些问题,公司需要:1)在董事会中有一个网络安全冠军,帮助为组织设定基调;2)制定一个长期的网络安全战略,这应该是每个组织的优先事项。
网络风险正在急剧上升。最新的IBM数据泄露报告显示,令人震惊的是,83%的组织在2022年经历了不止一次的数据泄露。根据2022年威瑞森数据泄露调查报告,勒索软件攻击的总数激增了13%,相当于过去五年的总和。根据IT治理公司1月、2月和3月的数据,仅在过去三个月,就公开披露了至少310起网络事件,情况的严重性继续明显。其中包括OpenAI的ChatGPT,由于其使用的开源库中的错误,该公司暴露了其ChatGPT Plus用户1.2%的支付相关信息和其他敏感信息。此外,三星半导体还记录了3起员工在使用ChatGPT时不小心泄露公司信息的事件。
众所周知,网络事件会使一个组织的股价下跌,尤其是在短期内。数据泄露后,上市公司的股价平均下跌7.5%,市值平均损失54亿美元。更令人担忧的是,这些公司平均需要46天才能将股价恢复到数据泄露前的水平,如果它们能够恢复的话。
重要的是,这样的影响会在整个供应链中回荡,产生连锁反应,对公司的商业生态系统造成高达26倍的损失。例如,今年1月31日对ION Trading Technologies的勒索软件攻击导致金融机构争先恐后地手动确认交易。同样,Okta的第三方供应商遭遇安全漏洞,在事件曝光的那一周内,该公司市值蒸发了约60亿美元。换句话说,你的能力取决于你最薄弱的环节。
尽管股价波动对一些高管来说可能是轻而易举的事情,但网络事件对公司的持久影响正变得越来越明显。
首先,网络事件会直接消耗企业的资源,导致企业经营成本的增加。2022年,全球数据泄露的平均成本达到435万美元,而美国的这一数字是美国的两倍多,平均为944万美元。这些费用可能包括从赎金、收入损失到业务停机、补救、法律费用和审计费用等所有费用。例如,发生数据泄露事件的公司的审计费用可能比没有数据泄露的公司高出13.5%左右。虽然数百万美元的损失可以使一家小公司破产,但对一家上市公司却没有太大影响,但攻击者通常“聪明”到足以给大公司带来更多问题。例如,勒索软件攻击对医疗保健行业的财务影响要大得多,仅在2021年,由于停机造成的损失就超过78亿美元。
web type="promo" is-insight=" Insight - Center " title="Managing Cyber Risk" dek="Exploring challenges and solution ." ctta -text="" href="http://www.fjfcw.net/ Insight - Center / Managing - Cyber - Risk" > Insight Center Collection 探索挑战和解决方案。 此外,这些成本可能会转嫁给客户和投资者,从而限制公司保持其市场地位的能力。例如,60%经历过数据泄露的组织已经提高了价格。平均而言,经历重大数据泄露事件的公司在一年后的表现比纳斯达克指数低8.6%,两年后这一差距可能扩大到11.9%。 此外,网络风险可能导致信用评级下调,影响公司获得融资的能力和成本。例如,网络安全措施较弱的公司可能面临更高的借贷成本和更大的财务风险,因为穆迪在2018年宣布,它将在分配信用评级时评估公司的网络安全措施。事实上,在Equifax于2017年发生数据泄露事件后,穆迪于2019年降低了Equifax的信用评级。 很明显,网络事件的后果不仅仅是短期股价下跌,高管们必须为长期影响做好准备。系统的响应策略和积极主动的客户态度——例如以已经实施的网络安全措施为主导,转向计划中的改进,以及进行消防演习——已被证明在减少网络事件的负面影响方面是有效的。为了为长期前景做好准备,高管们应该做出以下两项关键努力: 这是高管们为保护自己的公司应该承担的首要任务。拥有这样一位冠军不仅有助于应对网络事件,还可以将网络安全作为战略前沿,并向董事会传授网络安全知识。 如今,网络安全已深入到运营领域,包括通过有效沟通和开发敏捷管理流程,使网络安全成为董事会的首要任务。除了让首席信息官或首席信息安全官在董事会中负责网络安全之外,拥有相关专业知识的首席执行官或首席财务官也可以有效降低网络安全风险,使公司远离网络事件。 高管们应该采取的第二项关键努力是采取长期的网络安全战略,而不是短期的被动做法。虽然投资网络风险管理可能会在短期内影响到你的创收资源,但从长远来看,它会带来回报。 一项针对5882家美国医院的研究发现,那些采用并将IT安全深度集成到流程和结构中的医院,而不仅仅是象征性的采用者,可以有效减少37.8%的数据泄露。拥有更好的网络安全政策的企业——比如那些有专门的首席信息安全官、进行定期审计和参与威胁共享计划的企业——可以在七天内恢复股价。相反,那些安全状况较差的企业可能需要更长的时间才能恢复,平均需要90天。 网络安全应该是整个组织的优先事项,因为员工始终是降低网络安全风险的第一线。网络安全应该是每个员工工作描述的一部分。再想想三星半导体的数据泄露事件,员工将绝密源代码提交给ChatGPT进行错误修复。这一事件不是由于技术上的弱点,而是文化和操作上的问题。强大的网络安全文化可以帮助您的员工避免此类意外的网络事件,同时使他们能够利用ChatGPT等尖端数字创新的好处。 网络安全风险变得更加系统性和严重性。虽然网络攻击对企业的短期影响相当严重,但长期影响可能更为重要,例如竞争优势的丧失、信用评级的降低和网络保险费的增加。他们不应该被忽视。为了让公司有效地解决这些问题,董事会中需要有一个网络安全冠军来帮助组织确定基调,并制定长期的网络安全战略,这应该是每个组织的优先事项。
