自2010年起,美國相繼發生破紀錄的資安事故。單一駭客攻擊造成兩百五十家以上企業、超過七萬五千個資訊系統遭駭。即便是好萊塢影視,或是信用機構報告公司也無法倖免於難。
有鑑於此,美國證券交易委員會(SEC)於2018 年公佈公開發行公司資安揭露指南(Commission Statement and Guidance on Public Company Cybersecurity Disclosures,簡稱指南),明訂企業年報資安揭露原則與董監事監督(Board Risk Oversight)職責。
美國五大揭露項目
指南臚列企業年報應揭露五大項目:風險因素、財務與營運分析、財務報表、商業描述與訴訟現況。由於篇幅原因,本文僅摘要前三項的重點。
1.風險因素:
從商業與營運角度,企業年報需揭露其資安風險、潛在成本與資安維護的成本,如:第三方供應商的風險和資安保險。此外,風險因素亦包含企業商譽的減損、相關法案的影響,以及進行中的訴訟等。
2.財務與營運分析:
指南建議年報列舉資安事故的處理成本、費用,或營運損失,如:事後立即的成本、進行中的改善費用、智慧財產損害、(未來)預防性措施的實施成本、保險成本、訴訟及與法案調查的成本,與、與進行中或現行法規之合規準備費用、修補費用、處理商譽減損的費用,以及競爭力喪失的損失等。
3.財務報表揭露:
本分析列舉財務報表的資安費用或成本項目,如:調查費、外洩通知費、修補費、訴訟費、與專家費用、收益短少、提供消費者的獎勵誘因、或消費者資產價值的減少、保固成本、合約外洩成本、產品回收或更新成本、交易對方保障的理賠、保費調漲、未來現金流量的短少、智慧財產權智財、或無形資產的損害、第三責任確認,或增加的財務成本等。
美國年報揭露釋例現況
根據SEC的要求,美國三大信用機構Equifax 在最新的年報揭露2017年個資外洩事故處理始末。回溯本事故,美國國土安全部曾提出資安漏洞的預警,三年後介入調查的司法部也確認其駭客的身分。
為了重拾國際社會的信心,Equifax在策略中強調他們將帶領這產業的資料安全,包含建立資料與技術安全,以及廣義的風險管理的文化,成為企業商業決策之基本要求。
有關在資安法規上,年報整理美國紐約州金融監理機關的資訊安全要求、歐洲一般資料保護規則(GDPR),以及加拿大、拉丁美洲、澳洲、紐西蘭、印度資安法或個資法的現況。
從風險因素的分析,Equifax說明2017年事件涉及美、加與英國個資。從商業與營運角度,由於他們的基礎建設將轉型至雲端服務,連帶增加資安威脅的可能性。儘管他們在資安保險投保一億五千萬美金,但不代表可以真正消除未來不確定的駭客損失。
本事故的訴訟進度為年報的重點。過去重大訴訟的摘要在訴訟現況分析詳細說明。在有關商譽減損上,Equifax指出陳述2017年事件造成客戶、利害關係人與客戶關係上的損害。他們的客戶與商業夥伴要求Equifax取得或重新取得資安認證,如ISO國際標準。
董監事監督職責
除了年報揭露重點,指南也建議董監事監督的方向:
1.企業應設資安負責人,向董監事說明年度資通安全風險管理計畫,並定期報告計畫進度與稽核結果。
2.董監事應評估其自身能力與專長,透過專家諮詢管道或聘請資安顧問,協助監督、審閱計畫與稽核成果。
3.透過系統性的資安管理框架或整合性內部作業流程,公司說明資安事故發生前、中、後採取何種適當的措施,以達到風險控管之成效。
台灣年報揭露現況
近三年,政府開始重視企業年報的資安揭露。2018年底,臺灣證券交易所公布「近期法規修正重點」簡報文件,鼓勵上市櫃公司揭露資安風險。2019年,證券暨期貨市場發展基金會在最新的公司治理評鑑包含公司網站或年報資安揭露。2020年,櫃買中心在社會責任報告書法規中強調,上市櫃公司企業社會責任報告書應每年參考全球永續性報告協會(Global Reporting Initiatives)發布之準則,在管理方針與其組成部分、客戶隱私揭露項目中含資訊安全內容。
相較於美國SEC年報指南的重點,臺灣證券交易所強調的揭露內容偏重於資安事故前的準備,僅以原則陳述事故後的處理,如已發生重大資安事件之影響及因應措施。這些都影響我國企業年報在揭露重大資安事故方向與內容。
從美國國家標準技術研究所(NIST)「網路安全管理架構」(CSF)到SEC年報指南在在顯示,美國展現推動全球產業標準與法規制度的決心。身為全球供應鏈的戰略性夥伴,我們宜超越資安即技術的思維,透過資安治理、風險控管與應變演練,實踐數位韌性的管理思維及與最佳實務。
*作者許毓仁為前立法委員 & 台灣玉山科技協會秘書長,共同作者吳明璋為資安風險管理治理暨數位韌性專家。
