针对各种规模组织的重大网络攻击似乎几乎每周都会发生。12月14日,雅虎宣布这是有史以来规模最大的数据泄露事件,涉及超过10亿客户账户。
尽管此类攻击的规模和潜在危害很大,但人们普遍认识到,企业领导人,尤其是董事会,没有采取必要的行动来保护自己的公司免受此类攻击。这不仅是找到正确的网络防御工具和服务的问题,也是最高层(即公司董事会)的管理意识和安全意识的问题。
“我们的国家及其各种规模的企业和政府机构都受到各种咄咄逼人的对手的攻击,我们通常没有准备好管理和抵御这些威胁,”Gartner分析师阿维娃·利坦(Avivah Litan)说,他是许多组织的长期网络安全顾问。
“有些组织比其他组织做得更好,但这些努力几乎总是由首席信息官(cio)、首席信息官(cio)或业务线经理领导不公司董事会、首席执行官以及政府和私营部门的行政管理人员,”Litan补充道。
利坦说,现在需要的是一个国家应对和网络保护计划,但她担心联邦政府“过于分散和政治化,无法在这一目标上取得任何真正的进展。”
她还说,对包括电网在内的全国基础设施的威胁“极其严重”。“除非高管、公司董事会和其他高级利益相关者联合起来,否则威胁行动者将继续获胜。我不知道这个国家还需要多少警钟。”
利坦的担忧似乎已经波及到公司治理界的一些人士。的全国公司董事协会最近发布的一项针对600多名公司董事和专业人士的调查显示,只有19%的人认为他们的董事会对网络安全风险有高度的了解。这比一年前进行的类似调查中的11%有所改善。
的调查同时发现59%的受访者认为监管网络风险具有挑战性。非营利组织NACD有17000名成员,正在与安全意识公司合作岭全球和卡耐基梅隆大学(Carnegie Mellon University)共同创立了一个网络风险监管项目,以教育公司董事了解网络攻击的系统性风险。
利坦说,这样的教育很重要,但她也支持州和联邦法律,要求组织报告网络攻击,以便客户和合作伙伴知道更改密码和作出其他调整,以保护敏感数据。
利坦说:“要求披露信息是提高安全性以防止未来攻击的一大动力。”“没人希望自己的名字出现在新闻上。事实上,这正是公司董事们最担心的。”
大多数州都有数据安全违规通知法,但到目前为止还没有全国性的规定。加利福尼亚州首先颁布了2003年通知法美国其他州也纷纷效仿。
在联邦一级,一些美国参议员支持违反通知法,但没有任何法案通过国会审查。奥巴马总统在2015年提出了这样的立法。随着唐纳德·特朗普1月份就任下一任美国总统,联邦违约通知法是否会在未来四年或更长时间内生效还有待观察。
当雅虎9月披露另一起黑客攻击可以追溯到2014年,弗吉尼亚州民主党参议员马克·华纳(Mark Warner)。再次呼吁两党立法,建立统一的数据泄露通知标准共同创立的两党参议院网络安全核心小组。华纳当时表示:“国会早就应该采取行动,制定统一的数据泄露通知标准。”。
J. Gold Associates的分析师杰克·戈尔德(Jack Gold)质疑,全国性的违约通知法是否有效。他说:“许多州都有信息披露法,一些政府法规也要求信息披露,但我不确定如果公司就黑客攻击撒谎或不披露,会有什么效果。”
这个故事“公司董事会没有准备好应对网络攻击”最初由《计算机世界》 .