企業數據外洩的事件時有發生,為了應對這些問題,無論是法律、保險、企業策略都開始演變。日前(9/8)就有專家表示,據新加坡法例規定,金融機構如發現客戶資料外洩,需在 1 小時內向有關機構通報,反映企業應對資料外洩時的挑戰愈來愈大。
新加坡金融機構客戶資料外洩需於一小時內通報
隨著網絡攻擊的手法日漸精密,企業客戶資料外洩的風險愈來愈大。多位專家日前(9/8)於港出席 AIG 媒體圓桌會議,指近期無論是法律、保險抑或企業策略方面都起了變化,以保障市民和企業面對網絡攻擊時的損失。
企業客戶資料外洩的問題時有發生,例如早前 Verizon 就因合作夥伴的 AWS S3 設定出錯而導致 600 萬筆客戶資料曝光。Norton Rose Fulbright 的代表 Anna Gamvros 指,自 2012 年起不少國家相繼引入私隱和網絡安全法律,要求機構發生資料外洩時必須通知客人和相關機構,包括日本、中國和澳洲。
除了強制通報,Gamvros 亦指出法例要求企業回應資料外洩的時間已變得愈來愈短。以菲律賓為例,機構發生資料外洩後必須在 3 日內向有關當局通報;而在新加坡,金融機構更需在 1 小時內通報金管局,可見法例之嚴謹。她提醒企業,IT 團隊應與法律團隊緊密合作,確保企業能遵守各地的法例要求。
本地公司亦需承擔國際法律責任
較早前香港亦有玩具生產商遭黑客入侵,導致客戶資料外洩。然而 AIG 大中華地區金融保險部主管及大中華、南韓及日本專業責任保險經理 Cynthia Sze 強調,就算是本地公司遭入侵,他們亦需要面對其他國家法律責任。她以該事件為例指,據歐盟規定,只要企業有處理歐盟成員國的客戶資料,就必須通報他們,可見要處理的問題並不局限於本地。
Cynthia 又指出,當企業發生網絡事故時,所需的事件管理會涉及龐大成本,當中包括律師費、鑑證、公關以及數據回復。她引述美國一個調查指,企業可因此蒙受高達 330 萬美元的損失。
網絡保險需求因 WannaCry 增加 賠償金額取決多項因素
面對網絡威脅,最保險的做法當然是改善 IT 安全,並採用正確的備分方法,但誰都知道世上沒有百分百的安全,所以真正的「網絡保險」便推出市場,助企業應付攻擊和處理善後工作。
AIG 大中華及澳新地區責任保險和特殊金融保險負責人 Jason Kelly 指,在勒索軟件 WannaCry 肆虐期間,香港、中國、澳門和台灣對網絡安全保險的查詢量由 4 月到 5 月間錄得 87% 升幅。但 Kelly 同時表示,由於亞洲地區的網絡攻擊規模一般比歐美地區少,他們的網絡安全意識相對較低。KPMG 法證會計專家 Brian Wilson 亦指,網絡安全於美國是一個涉及管理層在策略研究上的問題,但多數亞洲公司對此並不太細心。
Kelly 稱,只要員工擁有電郵帳戶,就有機會遭到網絡攻擊,故網絡安全保險對企業而言非常重要,但他亦承認,有關保險的費用並不便宜。被問及賠償金額如何釐定時,Kelly 表示他們會準備一系列問題來評估公司,考慮因素包括牽涉的數據、遍及多少地方、管理的難度、公司政策等。
