Mark Jackley | 内容策略师 | 2023 年 3 月 17 日
对大多数组织而言,网络攻击是一个重大的财务风险。有鉴于此,首席财务官 (CFO) 在网络安全方面发挥着重要作用。CFO 需要与首席信息安全官 (CISO) 密切合作,根据财务风险判断需要优先解决的潜在威胁并对其加以防御,进缓解网络攻击风险。
网络攻击可通过多种方式损害企业利益。根据 IBM 和 Ponemon Institute 的一项研究显示,2023 年全球组织因数据泄露而造成的损失平均为 445 万美元。《2023 年 Verizon 数据泄露调查报告》则指出,近 95% 网络攻击的动机是经济利益,而非政治、社会或个人原因。
客户的信用卡号和员工的网络密码等机密数据经常成为攻击的目标,就连传统的现金也难以幸免。攻击者会通过伪造供应商发票、骗薪和勒索软件攻击来窃取现金。根据 Deloitte Center for Controllership 2023 年的一项研究,近一半的高管认为针对会计和财务的攻击将越来越多。企业可能因安全漏洞问题而损失钱财,还可能面临声誉受损的情况。
新推出的美国证券交易委员会法规也引起了 CFO 的广泛关注。美国证券交易委员会通过了这项规定,要求上市公司必须针对网络安全事件向投资者提供“对决策有用”的信息,并定期更新网络安全计划。相关规定也要求企业在确定网络安全事件是“重大的”(即大多数投资者都认为很重要)之后,在四天内通知美国证券交易委员会。
企业需要满足的另一个监管要求是《美国联邦信息安全管理法案》(FISMA),该法案要求美国联邦机构在全机构范围内制定、记录和实施安全措施。虽然确保企业遵守法规主要是 CISO 的责任,但作为管理者的 CFO 也需要注意相关要求。
关键要点
CFO 不是网络安全专家,而是风险管理专家。CISO 则负责保护企业的系统和数据,因此 CFO 自然而然地成为了 CISO 的盟友。CFO 在网络安全计划中扮演着咨询专家的角色,以确保这些计划反映了企业整体的财务风险。例如,该计划能否充分保护用于处理和存储宝贵的企业敏感数据的系统?能否帮助整个企业的员工发现欺诈性电子邮件、电话和其他欺诈行为?作为风险管理监管领域的管理者,CFO 必须确保网络风险水平处于可接受的范围。
CFO 还负责处理监管报告,其中涉及了网络安全。CFO 需要密切关注企业是否遵守美国证券交易委员会、欧盟《通用数据保护条例》和《加州消费者隐私法》等法规。CFO 与一般顾问、内部审计师、CISO 和其他合作方共同确保企业的合规性。CFO 不仅需要面对董事会关于任何网络事件披露报告的种种问题,还需要处理关于网络风险管理、策略和治理的年度信息披露报告。
为了实现合规性,CFO 必须平衡许多关键因素。例如,美国证券交易委员会要求企业披露投资者认为重要的任何“重大事件”。当然,CFO 会采取相应的财务措施,判断哪些是重要信息,并据此决定披露内容。尽管如此,他们也应该考虑更多定性因素。比方说,即使客户信息只是遭到小规模攻击,也会影响企业声誉。
在这个网络优先的商业世界中,企业能够比以往更快地向更多用户推出应用,而网络攻击者可利用的“威胁向量”也随之增加。企业将越来越多的应用与来自供应商、合作伙伴和其他第三方系统集成在一起。
无论是什么环境,攻击者从未停止尝试以新方法突破网络防御。CFO 不需要深入了解每一项技术之间的细微差别,只需了解能够有效应对攻击者的技术即可。许多攻击方式都是从以下五种基本类型演变而来的。
商业电子邮件攻击 (BEC) 是一种使用电子邮件来诱骗用户的网络攻击。例如,攻击者试图通过欺诈性请求或伪造供应商发票来诱骗收件人进行汇款。BEC 攻击的对象通常是会计和财务、采购和薪资团队,属于是一种网络钓鱼攻击。其他网络钓鱼攻击会试图诱骗收件人泄露密码、提供信用卡号码或点击恶意软件链接。
据美国联邦调查局发现,在 2013 年到 2022 年期间,BEC 攻击导致全球企业损失了 510 亿美元。电子邮件安全公司 Abnormal Security 发布的报告指出,2023 年上半年的 BEC 攻击事件比 2022 年上半年增加了 55%。
正如其名,供应链攻击的目标是企业向供应商购买的商品,通常是软件程序。攻击者可以利用软件程序中的漏洞,通过后门访问使用该软件的多家企业。攻击者可以访问这些企业的私有网络,并盗取知识产权、客户数据等信息资产。例如,臭名昭著的 2020 年攻击事件破坏了某个主流网络工具,泄露了美国政府机构以及多家跨国企业的数据。虽然这起供应链攻击是因为他国政府试图进行间谍活动或破坏关键基础设施而发起的,但有些犯罪分子也会为了经济利益而进行攻击。
所谓暴露的数据库,指的是用于支持公共网站或应用,但不受任何安全措施保护(例如用户凭据验证、安全配置、适当的安全设置或监督数据库部署过程)的数据库,这类数据库很容易成为攻击对象。随着远程工作的普及化,未获保护的数据及其相关攻击事件也不断增加。2023 年,总部位于新加坡的安全公司 Group IB 在开放网络上发现了近 40 万个暴露的数据库。Group IB 指出,数据库所有者在发现问题后,平均需要 170 天的时间来修复数据库,这些企业面临着数据泄露风险以及随之而来针对员工或客户的攻击事件。安全服务提供商 Kroll 在 2022 年的一项研究中发现,53% 的受访企业因数据库暴露攻击而导致了网络泄露。
内部威胁指的是具备对企业系统和网络的特殊访问权限并可能构成安全威胁的员工、前员工、承包商、供应商或其他相关方。内部人员可分为两类:一类是那些故意破坏企业系统并窃取数据的人,另一类则是那些由于缺乏安全培训或根本没有按照章程而无意中造成安全漏洞的人。IT 供应商 DTEX Systems 和 Ponemon Institute 进行了一项研究,并采集了各行各业不同规模的企业样本。研究结果显示,内部威胁事件的平均总损失金额从 2022 年的 1540 万美元增加到 2023 年的 1620 万美元。
勒索软件是攻击者用于加密企业数据的一种恶意软件,通常以受损的软件或虚假电子邮件的方式进行传播,然后向财务索取赎金以解密数据。一旦勒索软件被激活,员工就无法访问关键系统和数据,更无法工作。企业运营被迫暂停,必须支付所需的赎金才能恢复正常访问。某些企业考虑到赎金金额低于运营中断所带来的损失,特别是如果网络保险已承担了部分损失,因此决定妥协并支付赎金。然而,受害企业并无法保证支付赎金后,攻击者就一定会提供解锁数据所需的解密密钥。根据安全服务供应商 Sophos 的数据显示,2023 年的平均勒索软件赎金为 154 万美元。去年十月,由美国牵头的 50 个国家或地区的政府组织提出了《反勒索软件倡议》,承诺永远不会向网络罪犯支付赎金。
网络攻击:关键统计数据 |
---|
55% 从 2023 年 1 月到 6 月,商业电子邮件泄露攻击的增长百分比 |
1380 亿美元 2023 年全球供应链攻击的预计损失金额 |
74% 2023 年面临中度至超高度的内部威胁风险的企业占比 |
154 万美元 2023 年勒索软件平均赎金支付金额 |
资料来源:Abnormal Security,Cybersecurity Insiders,Sophos
除了与 CISO 合作确定网络风险的优先级之外,CFO 也助其制定安全计划和预算,并监视安全性能及其相关准备工作。
为了了解网络安全风险,CFO 会根据财务风险来确定优先级。例如,CFO 会与 CISO 合作,确保充分保护关键应用(特别是用于管理敏感数据和支付过程的应用)。他们需要搞清楚,不同的角色是否需要不同级别的权限来访问数据并执行交易?什么是“最小权限原则”?举个例子,供应链经理可能需要获得权限,以登录采购系统并执行或批准交易。会计专家则可能不需要获得授权即可在采购系统中完成工作,但却需要获得权限才能访问会计和财务系统并开展工作。同理,只有经授权的员工才能够设置供应商付款。
高优先级的应用主要集中在这些领域:会计和财务(应收账款和应付账款)、供应链运营(采购)和人力资源(薪资)。在金融服务和医疗卫生等行业中,保护用于管理客户或患者数据的应用尤为重要。
作为全球金融科技公司 Broadridge Financial Solutions 的前高管,现任甲骨文公司高级产品总监 Aman Desouza 曾负责制定该公司的治理、风险和合规性策略。他表示:“网络安全不是一种普适型解决方案。有些应用会比其他应用来得更重要。因此,CISO 必须与 CFO 以及其他高管合作,确定企业风险的优先级并保护‘皇冠上的宝石’。有时,CFO 还需要勇于挑战 CISO 的想法。”
在评估攻击的潜在影响时,CFO 不能只看当下的财务损失,还需要考虑到攻击事件对生产力、品牌声誉、客户关系和法律合规性造成的持久影响。
虽然每家企业的结构各不相同,但网络安全规划是一项跨职能的工作,通常由 CISO 来承担主要责任。尽管如此,由于网络攻击会给利润带来巨大的风险,因此 CISO 在制定计划时需要咨询 CFO 的意见。随着新的 SEC 规则出台,美国上市公司的 CFO 还需要在年度报告中包含某些网络安全风险管理、策略和治理信息,因此他们需要与 CISO 密切合作。
所有计划都应包括对网络安全风险的评估。CFO 必须充分考虑各种数据的价值以及安全事件可能带来的法律问题和声誉受损成本,以此衡量网络风险。CFO 还需要考虑将敏感数据存储外包给第三方的风险,特别是对网络安全受保范围的影响,以及 SEC 或其它规则的违规风险。
规划还有另一个关键部分:评估当前的安全工具和流程。CISO 评估工具以了解其技术和功能。CFO 则专注于工具和相关流程是否可以保护高价值资产,尤其是财务和支付应用。通过成本效益分析,CFO 也可以评估安全技术投资,这一观点有助于 CISO 向 CEO 和董事会提交安全预算。
一个好计划必须是灵活的,可以帮助企业应对各种新兴风险,例如可以模仿高管的语音和脸部表情的 AI 换脸技术 deepfakes。据美国有线电视新闻网 (CNN) 报道,某起攻击事件通过在电话会议上使用 deepfake 视频,诱骗一名财务人员向攻击者的银行账户转账 2560 万美元。适应性强的计划可以支持企业采用新的安全工具,比如其中一些工具可以使用生成式 AI 技术,更快地发现网络异常和恶意活动。
与网络安全计划一样,CISO 在网络安全预算中同样也扮演着领导者的角色。对于大多数企业,CFO 会在此过程中提供咨询意见、审核预算并提出问题和建议。在审核安全支出时,CFO 会检查各类型的投资,包括具有专业知识的人员、用于检测和打击网络安全犯罪的技术以及监控网络风险和安全合规性的工具。
根据安全咨询公司 IANS Research 在 2023 年发布的一项研究结果显示,在 2022 到 2023 年的预算周期中,网络安全预算略有上升。例如,相较于 2021 年至 2022 年周期超过 30% 的安全预算增幅,科技公司的安全预算平均仅增加了 5%。然而,科技公司比其他行业的企业拥有更多安全预算,占 IT 总支出的 19.4%。相比之下,零售企业平均仅将 7.2% 的 IT 预算用于安全保护。
当资金紧张时,CFO 会提出一些犀利的问题。比如所拟议的预算是否符合企业目标?资金是否足够保护企业并降低风险?
一旦制定了网络安全预算,CISO 就会进行审核,已决定是否要将资源用来降低风险,招聘熟练的专业人员,扩展员工安全培训计划,购买新的安全软件,还是迁移到更安全的云技术业务模式。CFO 则再次发挥咨询专家的作用,确保资源分配与财务风险优先级一致。比方说,如果将资金分配给多因素身份验证工具,而不是用于人员或流程优化,是否能够更有效地降低入侵风险并更好地保护数据?
网络安全计划包括性能监视指标,可显示当前的风险级别是否处于可接受范围。CISO 主要看指标,例如检测攻击和响应攻击所需的平均时长。与技术和流程的性能相比,CFO 则更加注重安全保护是否就绪。Desouza 表示:“在大多数情况下,CFO 需要看到证据,证明安全计划是成熟的。他们会希望获得自动化监控工具或安全意识培训,帮助员工发现商业电子邮件邪路和网络钓鱼攻击。对于 CFO 而言,做好充足的准备尤为重要。”
当企业忽视(或没有足够关注)网络安全时,可能需要付出高昂的代价。除了数据、资金和/或知识产权方面的损失,企业还可能面临客户信任度下降、业务订单被取消、股价下跌、负面头条新闻和法律处罚。Dark Reading 指出,2017 年广为人知的安全漏洞事件导致企业的股价在一周内下跌了 31%,最终花了两年时间才完全恢复。然而,更常见的情况是,股价立即出现低个位数下滑。
根据 Cybersecurity Ventures 在 2022 年发布的研究报告,到了 2025 年,全球网络犯罪造成的损失预计将达到 10.5 万亿美元。安全服务供应商 Deep Instinct 也指出,75% 的受访安全专业人员发现 2022 年到 2023 年的攻击事件有所增加。
美国证券交易委员会公司财务部主任 Erik Gerding 在声明中表示,根据新的 SEC 网络披露规则,企业必须“每年披露有关网络安全风险管理、策略和治理的信息”。此外,企业还需要披露任何重大网络安全事件。鉴于这些要求,上市公司的 CFO 必须确保自己充分了解企业正在实施的网络安全策略和实践。他们必须具备知识和关系,才能快速了解相关的网络安全事件,并评估这些攻击的严重性。如果忽视这些要求,CFO 可能会导致企业面临监管处罚。
Oracle Fusion Cloud Enterprise Resource Planning (ERP) 是一个集财务、采购、项目管理和其他应用于一体的套件,从设计上提供安全性。集中式访问控制有助于简化网络授权,再加上 Oracle Cloud ERP 中提供的安全功能,可帮助企业管理合规性和监管义务。
作为 Oracle Cloud ERP 套件的一部分,Oracle Risk Management and Compliance 是一个安全和审计解决方案,包含了用于控制对套件中财务数据的访问以及检测可疑交易的 AI 工具,可为企业提供宝贵的洞察以确保遵守安全法规。
CFO 在网络安全方面扮演着什么样的角色?
作为一名风险管理者,CFO 负责确保企业的网络安全工作符合财务风险管理策略。CFO 也需要帮助 CISO 了解整个企业的风险优先级并制定相应的安全计划和预算。
CFO 需要具备哪些网络安全认证?
CFO 可以考虑获取的其中一项认证是由美国注册会计师协会和英国特许管理会计师协会颁发的 Maximizing Digital Operational Excellence Certificate。该证书可证明证书持有者了解加强财务治理、安全和控制的新方法。
CFO 必须履行哪些关键网络安全职责?
除了确保网络安全与财务风险保持一致之外,CFO 还需要帮助 CISO 完善安全计划和预算,并优先保护用于管理关键数据和支付的应用。上市公司的 CFO 也可能需要根据企业所在位置,满足当地的监管披露要求。
注:为免疑义,本网页所用以下术语专指以下含义: