导 言
近年来,网络安全引发的数据泄露问题给企业造成了严重的损失。据调研机构Audit Analytics发现,2011年至今,美国有639起上市公司网络安全事件,每起网络数据泄露事件的平均损失高达1.16亿美元,但是公司要花平均100天,才能发现这些问题。
而国内,单单是去年, 就有包括麦达数字、璧合科技、蓝色光标等因网络数据安全问题收到了交易所的问询函。
毫无疑问的是,随随着《网络安全法》、《个人信息安全规范》《等级保护2.0》以及《数据安全法》等的推出和实施,加强数据保护的监管要求将越来越严格。
本文,我们将对安永董事会事务中心美洲主管SteveW. Klemash,对于财富百强中67家公司在网络安全监督和披露中的做法。特别是Covid-19大流行期间,这些头部企业如何缓解这种越发严峻的风险。
原文参见:Klemas, W.K., Smith, J.C.& Seets, C. (2020)What Companies are Disclosing About CybersecurityRisk and Oversight[Online] Available from:[Accessed 4 September 2020]
正 文
随着大范围远程工作,以及Covid-19大流行期间在线互动的增加,网络安全风险正在加剧。快速适应多种业务流程和协议的虚拟环境,成倍增加了公司的网络受攻击面,并给公司数据和系统机密性、完整性带来了新的风险。
同时,由于公司要收集员工、承包商和客户健康有关的数据(例如COVID-19测试,温度检查和联系追踪),工人返工也引发了新的数据安全风险和隐私问题。因此,利用新技术、信封组织架构、已经监督方法迫在眉睫。
在这种环境下,保持网络弹性,以及建立对公司数据安全和隐私实践的责任人监督机制,是当务之急。SEC之所以要求上市公司公开披露网络安全风险,也是由于这些披露信息,将提高董事会如何履行其网络安全风险监督职责的透明度。
安永研究人员已连续第三年分析了《财富》100强公司的委托声明书和10-K文件中与网络安全相关的披露内容。安永研究了从2018年到2020年5月31日之间,提交这些文件的76家财富100强公司。研究主要集中于关注:网络安全董事会监督(包括董事会级委员会监督和董事资格),网络安全和数据隐私风险声明以及风险管理(包括网络安全风险缓解和应急响应工作,以及与外部安全顾问的接触)。此外,分析还当前监管政策和美国公共政策环境,以及总结了投资者的观点。
我们找到了什么?
许多公司都在加强其网络安全披露,这些在我们跟踪的大多数披露文件中都有适度增加。今年,最重大的变化涉及董事会监督领域,包括董事委员会监督,以及确定董事权责范围。其他值得注意的发现包括,网络就绪模拟披露的匮乏,以及雇佣独立第三方顾问的必要性。
表1:财富100强公司的网络安全信息披露情况
注:基于100家公司总披露量的百分比。数据基于2020年《财富》 100强榜单上的76家公司,这些公司在2018年,2019年和2020年5月31日之前提交了10-K表格和代委托声明书。*一些公司将网络安全监督指定给一个以上的董事会委员。
● 董事委员会的监督
越来越多的企业董事会,选择将网络安全监督职责分配给委员会。今年(2020年),有87%的公司确定至少一个董事会级别会负责网络安全监督,高于去年的82%和2018年的74%。当然,审计委员会仍然是承担这一职责的主要团体。今年,有67%的董事会将网络安全监督任务分配给了审计委员会,高于2019年的62%和2018年的59%。
去年,我们观察到,将网络安全监督分配给非审计委员会(例如风控或技术)董事会的公司刷领显着增加(从2018年的20%上升至2019年的28%),但今年该百分比下降了(2020年为26%)。
在将网络安全监督职责分配给审计委员会公司中,近三分之二(65%)在审计委员会的章程中写明了该项职责。而在将此职责分配给非审计委员会的公司中,大多数(85%)公司都将这一职责写进了章程。
● 董事的技能和专业知识
近年来,越来越多的公司将网络安全监督的经验,放入了董事资格考核中。2020年,有58%的公司,将网络安全经验作为董事会成员招募条件,或选择在董事简介中写明其具备对应的专业知识。而这一比例,高于去年的51%和2018年的39%。
● 数据隐私
我们分析的几乎所有(99%)公司,在2020年和2019年10-K报告中,都披露了数据隐私的相关内容。但是,各家明确的关注程度差异很大。大约四分之一(24%)的公司将数据隐私视为独立的风险因素,他们认为这一因素除了会影响公司声誉和运营风险外,数据隐私越来越负责的法规,还将导致较高的财务和法律风险。
30%的公司,将数据保密性与网络安全性进行综合考虑。不到一半(45%)的公司,则将关注到了广泛的风险因素(比如信息技术、监管风险等),并将其视为解决数据隐私问题的途径。
从行业的角度,那些处于数据隐私风险不太大的行业(例如能源和工业)的公司,通常将数据隐私视为单一风险因素;而来自数据隐私风险较大的行业(例如医疗保健、金融服务、非必需消费品和必需品),仅选择关注更广泛的风险因素,并将数据隐私视为一种综合风险。
● 薪酬激励
5%的公司,将网络安全纳入高管薪酬考虑范围,例如将其作为年度奖励薪酬的考核内容。值得注意的是,在过去三年中,一些公司还收到了股东提议,建议将在薪酬激励的考量过程中增加对网络安全监督的贡献考核。但是,经过表决后,类似的提案平均只获得了17%的支持。公司通常会解释说,高级主管的行为与网络安全事件风险防范之间不一定存在关联。
● 应急响应的模拟训练
虽然披露进行网络事件模拟或演练的公司比例,从去年的3%增长到2020年的7%,翻了一番以上,但进行此披露的公司数量仍然很少。在这些少数公司中,也没有一家公司披露董事会是否参与了这些演习。
实际上,安永(EY)认为,模拟是公司应该优先考虑的重要的风险准备措施。即使是最强大的网络安全程序,也无法消除所有风险。如果不执行计划而发生违规行为,则遭受攻击后系统的反馈将是可控的。相反,反复的事件模拟和训练,可以通过明确分工和流程,实现压力测试,并提高应急准备效率。同时,管理层也应该进行这些练习,以测试公司网络安全是否存在重大漏洞,或者是对财务产生重大影响的事件。尤其是,董事会应考虑每年至少参加一次这种类似的模拟训练。
此外,此类练习可帮助公司降低法律风险。网络违规可能会导致个人数据丢失,但是个人数据的保护,必须遵守复杂的州或联邦法律,甚至可能需要遵守非美国司法管辖区的法律,因此需要通过实践。
● 聘请外部独立顾问
披露使用外部独立顾问来支持管理层的公司数量较为稳定,今年有12家公司进行了披露,而2019年为10家,2018年为12家。在2020年进行披露的公司中,只有4家明确表示,董事会直会接与独立第三方会面。
全国公司董事协会(NACD)和互联网安全联盟最近更新的《关于网络风险监督的董事手册》中,鼓励董事会聘请独立的第三方专家。虽然目前未发现美国注册会计师协会和网络安全组织控制框架在网络安全方面的进一步讨论,但该框架确实为公司的网络安全风险管理计划提供了全公司范围内的独立评估。
表2: 2020年财富100强公司的披露样本
● 董事会要考虑的问题
◆ 董事会是否在议程上分配了足够的时间,委员会的结构是否适当,来对网络安全进行有效监督?
◆ 公司的披露是否有效地传达了其网络安全风险管理计划,以及是否强调了董事会监督的严格性?
◆ 管理层提供了哪些信息来帮助董事会评估:哪些核心业务资产和核心合作伙伴(包括第三方和供应商)最容易受到网络攻击?
是否已确定适当且有意义的监控指标,并将其定期提供给董事会?
◆ 管理层如何对已出现的网络和数据隐私事件进行评估和分类,并确定是否将其上报给董事会?
◆董事会是否已按照NACD《Cyber-Risk Oversight2020》手册中所述,利用第三方评估机构,来验证公司网络安全风险管理计划是否达标?
◆ 董事会是否与第三方就工作范围和调查结果进行了直接沟通?
◆ 董事会是否与管理层一起,参与了网络安全应急模拟?
◆ 董事会是否考虑过,管理网络安全监督和风控口碑,与投资者、供应商和客户建立信任关系?
● SEC的指导意见
SEC合规与检查办公室在2020年1月的报告中指出,“网络安全严重威胁着投资者、发行人和其他证券市场参与者,以及金融市场和经济,且潜在风险不断增加。” 随着以COVID-19的推动,数字业务的加速转移以及大规模(可能是永久性的)远程工作的转移,包括虚拟董事会和执行管理会议等,网络安全风险成倍增加。
鉴于企业越来越依赖数字技术开展和管理业务,SEC公司财务部在2019年12月发布了有关披露与国际运营相关的知识产权和技术风险指南。该部分指导意见指出:
我们鼓励公司评估与国际运营有关的技术、数据或知识产权,被盗窃或损害的潜在风险,以及这些风险将如何影响业务(包括财务状况和经营成果、声誉、股票价格和长期投资价值)。如果这些风险对投资具有重大影响,则应予以披露。但是,有关这些风险的披露要求,会专门针对公司的独特事实和情况进行调整。同样,如果公司的技术、数据或知识产权正在或以前受到了实质性的损害,被盗或以其他方式被非法获取,则潜在风险的假设性披露是远远不够的。我们认为,这种情况下,公司应继续考虑不断变化的风险领域,并持续评估其重要性。
SEC的指导意见,还重申了其在2018年的一份指导意见,该意见表示,公司有义务披露网络安全风险、重大违规行为以及违规行为对业务、财务和运营的潜在影响,以使投资者能够做出更具风险意识的投资决策。
END
