Mark Jackley | 內容策略師 | 2024 年 3 月 27 日
由於網路攻擊對大多數企業而言是主要的財務風險,因此財務長在網路安全方面發揮重要的作用。財務長與資安長 (CISO) 密切合作,根據財務風險確定潛在威脅的優先級,相應地維護防禦,並最終協助降低這些風險。
網路攻擊可能會在多個方面造成企業損失。根據 IBM 和 Ponemon Institute 的一項研究,整體而言,2023 年全球企業因資料外洩而造成的平均成本為 445 萬美元。根據 2023 年 Verizon 資料外洩調查報告,近 95% 的攻擊是為了經濟利益而發動的,而不是出於政治、社會或個人原因。
客戶信用卡號碼和員工網路密碼等機密資料是最常被攻擊的目標。舊鈔、虛假供應商發票、薪資詐騙和勒索軟體攻擊也是常見的目標。根據 2023 年 Deloitte Center for Controller 的一項研究,近半的高階主管針對會計和財務的攻擊將會惡化。此外,安全漏洞會導致企業聲譽受損,進而產生財務成本。
美國證券交易委員會 (Securities and Exchange Commission, SEC) 的新規定也引起了財務長的關注。SEC 的新規定要求上市公司向投資者提供有關網路安全事件的「對決策有用」的資訊,並定期更新其網路安全計畫。這些規定似乎還要求公司在確定網路安全事件為「重大」事件 (即大多數投資者都認重要的事件) 後四天內通知 SEC。
另一項監管法案是《聯邦資訊安全管理法案》 (Federal Information Security Management Act, FISMA),該法案要求美國聯邦機構制定、記錄和實施全機構範圍的安全措施。遵守法律主要是資安長的責任,但政府部門的財務長也需要注意這些要求。
重點精華
財務長不是網路安全專家,而是風險管理專家。這讓財務長成為資安長的盟友,後者負責保護企業的系統和資料。在制定網路安全計畫時,應先諮詢財務長,確保相關計畫反映企業的整體財務風險。是否充分保護處理和儲存企業最敏感和最有價值資料的系統?是否協助整個組織的員工發現詐騙電子郵件、電話和其他詐騙?作為最高風險管理監督者,財務長必須確信企業的網路風險水平是可以接受的。
財務長也承擔包括網路安全在內的監管報告義務,他們密切關注美國證券交易委員會、歐盟《一般資料保護條例》和《加州消費者隱私法》等法規的遵守情況。財務長與總法律顧問、內部稽核師、資安長和其他領導者合作,以確保合規性。財務長要面對董事會關於任何網路事件的提問,以及網路風險管理、策略和治理年度揭露要求。
為了符合規範,財務長必須平衡許多關鍵因素。例如,美國證券交易委員會要求揭露投資者認為的「重大事件」。當然,財務長使用財務指標來決定哪些內容是重要的,從而決定要揭露哪些內容,但他們也應該考慮更多定性因素,例如即使是對客戶資訊的小規模攻擊也會對公司聲譽產生影響。
在這個線上優先的商業世界中,隨著公司比以往更快地向更多使用者推出應用程式,網路攻擊者可用的「威脅向量」正在擴大。公司也越來越多地將應用程式與供應商、合作夥伴和其他外部機構的系統整合。
無論目標環境為何,攻擊者都會不斷測試逃避網路防禦的新方法。財務長不需要掌握每一項技術,但他們必須瞭解攻擊者所採用的有效技術。許多攻擊都是以下五種基本類型為基礎,做出各種新變化。
商業電子郵件詐騙 (BEC) 是一種利用電子郵件的網路攻擊,鎖定個人為目標。例如,攻擊者試圖透過欺詐性的電匯請求或虛假的供應商發票來欺騙收款人匯款。此類 BEC 通常針對會計和財務、採購和薪資團隊。BEC 是一種網路釣魚攻擊。其他網路釣魚詐騙試圖誘騙收件者洩漏密碼、提供信用卡號碼或點擊惡意軟體連結。
據美國聯邦調查局稱,2013 年至 2022 年間,BEC 攻擊導致全球組織面臨 510 億美元的損失。電子郵件安全公司 Abnormal Security 報告稱,2023 年上半年 BEC 攻擊比 2022 年上半年增加了 55%。
顧名思義,供應鏈攻擊的目標是通常是企業從供應商那裡購買的軟體程式。透過利用軟體程式中的漏洞,攻擊者可以獲得對使用該軟體的多家企業的後門存取權限。攻擊者獲得對私有網路的存取權限,包括其智慧財產權、客戶資料和其他資訊資產。最惡名昭彰的例子是 2020 年的一次攻擊,該攻擊破壞了熱門的網路工具,導致美國重要政府機構和跨國企業深受其害。雖然供應鏈攻擊與試圖進行間諜活動或破壞關鍵基礎架構的國家支持的行為者有關,但出於經濟動機的犯罪分子也會發動這些攻擊。
公開的資料庫是支援公共網站或應用程式的資料庫,不受安全措施的保護 (例如要求用戶憑證、安全配置、適當的安全設定或資料庫部署的監督),使其很容易成為攻擊對象。在新冠病毒 (COVID-19) 疫情期間,遠端工作增加,導致不安全的資料相應增加,網絡攻擊也隨之而來。2023 年,總部位於新加坡的安全公司 Group IB 在開放式網路上發現近 40 萬個此類資料庫。Group IB 指出,在得知問題後,資料庫所有者平均需要 170 天的時間來修復,同時在這期間必須冒著資料外洩和員工或客戶被後續攻擊的風險。在安全供應商 Kroll 2022 年的一項研究中,53% 的組織表示,公開資料庫遭受攻擊導致網路詐騙發生。
內部人員是指對員工、前員工、承包商、供應商或其他人員,他們對公司系統和網路的特殊存取權限可能會對公司構成安全威脅。內部人員分為兩大類:一類是故意破壞公司系統並竊取資料的人,另一類是由於缺乏安全訓練或未遵守程序而無意中造成安全漏洞的人。IT 供應商 DTEX Systems 和 Ponemon Institute 根據不同產業、不同規模組織的抽樣調查顯示,內部威脅事件對組織造成的平均總成本從 2022 年的 1,540 萬美元上升到去年的 1,620 萬美元。
勒索軟體是一種惡意軟體,攻擊者對公司資料進行加密,並通常透過受攻擊的軟體或虛假電子郵件,要求支付贖金來解除加密。當勒索軟體被啟動時,員工因不能存取關鍵系統和資料而無法工作,導致企業營運陷入停頓,直到企業支付贖金才能恢復正常。有些公司認為支付贖金比營運停機的成本要低,尤其是在網路保險涵蓋部分損失的情況下。然而,不能保證攻擊者在收到贖金後會提供解密金鑰來釋放資料。據安全供應商 Sophos 稱,2023 年勒索軟體的平均支付額為 154 萬美元。去年 10 月,以美國為首、由 50 個國家政府組織組成的反勒索軟體倡議組織 (Counter Ransomware Initiative) 承諾,永遠不會向網路犯罪分子支付贖金。
網路攻擊:關鍵統計資料 |
---|
2023 年 1 月至 6 月,商業電子郵件詐騙攻擊百分比增加了 55% |
在 2023 年,供應鏈攻擊造成的全球損失預計為 1,380 億美元 |
在 2023 年,74% 的組織認內部威脅的程度為中度至極為脆弱 |
在 2023 年,勒索軟體平均支付金額為 154 萬美元 |
來源:Abnormal Security、Cybersecurity Insiders、Sophos
除了與資安長 (CISO) 合作確定網路風險的優先順序外,財務長還越來越多地幫助他們制定安全計畫和安全預算,以及監控安全績效和準備工作。
為了瞭解網路安全風險,財務長會根據財務風險對這些風險進行優先排序。例如,財務長與資安長合作確保管理敏感資料和支付的關鍵應用程式得到充分保護。不同的角色是否需要不同層級的權限來存取資料和進行交易,也就是所謂的「最低權限原則」?例如,供應鏈經理可能需要權限才能進入採購系統,以及進行或核准交易。會計專家可能不需要在採購系統中工作的權限,而是需要存取會計和財務系統並在其中進行業務往來的權限。同樣地,只有獲得授權的員工才能設定供應商付款。
高優先順序的應用程式包括會計和財務 (應收帳款與應付帳款)、供應鏈作業 (採購) 和人力資源 (薪資)。在金融服務和醫療保健等產業中,保護那些管理客戶或病患資料的應用程式尤其重要。
「網路安全並非一體適用」,Oracle 資深產品總監 Aman Desouza 表示。他曾負責全球金融科技公司 Broadridge Financial Solutions 的治理、風險和合規策略。「有些應用程式比其他應用程式重要得多。資安長應與財務長 (甚至包括其他高階主管) 合作,優先處理企業風險並保護最重要的資產。有時,財務長需要挑戰資安長的想法。」
在評估攻擊的潛在影響時,財務長不應只關注眼前的財務損失。他們還必須考慮攻擊對生產力、品牌聲譽、客戶關係和法律合規性的持久影響。
雖然每一家企業的結構各不相同,但網路安全規劃是一項跨職能的工作,通常主要由資安長負責。但由於網路攻擊會對利潤帶來嚴重風險,資安長在製定計畫時應諮詢財務長。根據新的 SEC 規則,美國上市公司的財務長還需要在其年度報告中納入某些網路安全風險管理、策略和治理訊息,因此他們需要與資安長就此密切合作。
所有計畫應包括網路安全風險評估。財務長根據各種資料的價值以及安全事件的潛在法律和聲譽成本來評估網路風險。此外,財務長也會考慮將敏感資料儲存外包給第三方的風險,尤其是對網路安全保險涵蓋範圍的影響,以及不遵守 SEC 或其他規則的風險。
另一個重要的規劃層面是對目前安全工具和流程的評估。資安長負責評估工具的技術能力,而財務長想瞭解哪些工具和相關流程可以保護高價值資產,尤其是財務和支付應用程式。透過成本效益分析,財務長還可以評估安全技術投資,從而協助資安長向執行長和董事會提交安全預算。
靈活的計畫才是最理想的,能夠協助企業因應新風險,包括使用 AI 技術的深度偽造 (deepfake)。深度偽造能夠產生高階主管的超現實模仿。根據 CNN 報道,其中一次攻擊利用電話會議中的深度偽造影片來引誘一名財務工作人員向攻擊者的銀行帳戶轉帳 2,560 萬美元。調適型計畫也聚焦於最新的安全工具,其中一些工具使用生成式 AI 來更快地發現網路異常和惡意活動。
與網路安全計畫一樣,資安長主導網路安全預算。在大多數公司中,財務長會在過程中進行諮詢、審查預算、提出問題及建議。在審查安全支出時,財務長會審查對具有專業知識人員的投資、檢測並防範攻擊技術,以及監控網路風險和安全合規工具。
根據安全顧問公司 IANS Research 2023 年的研究,在 2022 年至 2023 年的預算週期中,網路安全預算略有成長。舉例來說,科技公司的安全預算平均僅增加 5%,而在 2021 年至 2022 年週期内增幅超過 30%。不過,與其他產業相比,科技公司的安全預算佔 IT 總支出的比例最大,達 19.4%。相較之下,零售業平均將 7.2% 的 IT 預算分配於安全方面。
當資金緊張時,財務長會提出尖銳的問題。提議的預算是否符合公司目標?為保護組織及降低風險,是否準備了足夠的資金?
確定網路安全預算後,資安長將審查這些方面:是否將資源配置到最需要的地方,以降低風險?是否聘請熟練的專業人員、擴展員工安全訓練計畫、購買新的安全軟體,或將組織移轉至更安全的雲端業務模型?同時,財務長將扮演顧問角色,確保資源配置反映財務風險的優先事項。例如,透過投資於多因素身份驗證工具,組織是否比在員工或流程改進上花費類似金額更有效地降低入侵風險及保護資料?
網路安全計畫包括效能監控指標,顯示目前的風險層次是否可被接受。資安長專注於偵測攻擊和回應攻擊的平均時間等指標,而財務長則更關注安全就緒情況,而不是技術和流程的效能。Desouza 表示:「大多數情況下,財務長希望看到成熟的安全計畫。他們查看自動監控工具的指標,或提供安全意識培訓,教導員工發現 BEC 和網路釣魚攻擊。對財務長而言,準備工作比其他任何事情都重要。」
如果企業忽視網路安全,或沒有對此給予足夠重視,可能會帶來很高的代價,造成資料、資金和/或智慧財產權的損失。當中的成本還包括客戶信任度下降、業務訂單被取消、股價下跌、帶來負面新聞和法律處罰。Dark Reading 報告稱,2017 年一次廣為人知的安全漏洞導致某家公司的股價在一週內下跌 31%,並花了兩年時間才完全恢復。然而,更常見的情況是股價立即下跌至個位數。
根據 Cybersecurity Ventures 2022 年的研究,到 2025 年,全球網路犯罪造成的損失預計將達到 10.5 兆美元。安全供應商 Deep Instinct 報告稱,在 2022 年到 2023 年期間,75% 的安全專業人員見證了攻擊不斷增加。
美國證券交易委員會公司財務部門主管 Erik Gerding 在一份聲明中表示,根據新的美國證券交易委員會網絡揭露規則,公司必須「每年揭露有關網路安全風險管理、策略和治理的資訊」。除此之外,公司還必須揭露任何重大網路安全事件。鑑於這些要求,上市公司的財務長必須確保自己瞭解公司的網路安全策略和實務。財務長必須具備相關知識,才能快速瞭解相關的網路安全事件,並評估這些攻擊的重要性。如果財務長忽視這些要求,則將導致公司面臨監管處罰。
Oracle Fusion Cloud Enterprise Resource Planning (ERP) 財務、採購、專案管理和其他應用程式套件在設計上提供安全保證。集中存取控制有助於簡化網路授權,加上 Oracle Cloud ERP 的安全功能,可協助企業管理合規和監管義務。
作為 Oracle Cloud ERP 套件的一部分,Oracle Risk Management and Compliance 是一個安全和稽核解決方案,其中包括 AI 工具,可控制套件的財務資料存取、偵測可疑交易,並為企業提供有價值的洞察力,以協助遵守安全法規。
財務長在網路安全方面扮演什麽角色?
作為企業風險管理的掌舵手,財務長確保將財務風險管理策略應用於網路安全工作中。財務長協助資安長瞭解整個企業的風險優先順序,並據此制定安全計畫和預算。
財務長應該具備哪些網路安全認證?
財務長應該考慮的認證包括美國註冊會計師協會 (American Institute of Certified Public Accountants) 和英國特許管理會計師協會 (Chartered Institute of Management Accountants) 提供的「最大化數位卓越營運證書」(Maximizing Digital Operational Excellence Certificate)。該證書證明財務管理者掌握財務治理、安全和控制的最新方法。
財務長必須履行哪些關鍵網路安全職責?
除了確保網路安全與財務風險保持一致外,財務長還應協助資安長改善安全計畫和預算,並優先保護管理關鍵資料和支付的應用程式。上市公司的財務長也可能面對監管揭露要求,視公司的所在地而定。