網絡攻擊事件時有發生,萬一有企業中招的話必然會引起廣泛迴響,但他們真的會因此受到負面影響嗎?專家指出,部分遭攻擊的企業,雖然股市表現依然無大變化,但實際上很多高層擔心企業會有災難性損失,故他們應管理未知的因素,把心態由「兵來將擋(just in time)」變成「以防萬一(just in case)」。
網絡攻擊對股價影響輕微
較早前勒索軟件 WannaCry 和 NotPetya 肆虐全球,不少大型企業均「中招」而登上新聞,但高層們事實上會對網絡威脅感到擔憂嗎?在日前(15-16/8)於香港會展舉行的 InfoSec Summit 2017 中,Wavestone HK 代表 Chadi Hantouche 就表示,當網絡危機發生時,不少「C 級(Chief)」的管理層會參與決定,但事情完結後就只有少量管理層繼續參與,並改由專家主導。
Hantouche 其後引述一個學界調查,分析逾 220 間曾遭網絡攻擊的企業的股價變化,發現網絡攻擊只會對股價產生有限的影響,在長期而言更加影響甚微,可見投資者都不視網絡威脅為嚴重事件;他其後再以遭到勒索軟件 NotPetya 攻擊的企業為例,指其股價在事發期間亦無出現大幅波動。
與此同時,近年發生多宗資料外洩事件,如 Vtech、LinkedIn 和 Ashley Madison 等,但普遍用戶仍不太關心。不過 Hantouche 補充,用戶的心態已有所轉變,開始關心產品的保安,企業必需注意。
高層應改變心態控制不確定性
縱使網絡攻擊對公司股價的影響有限,但 Hantouche 指,高層仍會擔心企業有否違反法律以及網絡威脅為企業帶來的災難性損失。Hantouche 提醒企業如要避免災難,最重要是要從「法規(Compliance)」、「已知風險(Risk)」和「不確定性(Uncertainty)」取得平衡。
對企業而言,除了要管理「風險」,亦要管理「不確定性」。Hantouche 建議企業應盡力把「不確定性」轉移到「已知風險」,例如企業應充用運用各種資訊,並以此引導內部的「紅隊(Red Team)」進行滲透測試。他又建議企業制訂應變計劃,預先構想「最好」和「最壞」的情景,並改善內部溝通,將知識傳給整個公司,減少未知數。
最後 Hantouche 提醒企業不應視「不確定性」為「黑天鵝事件」,而是要面對它,把「兵來將擋(just in time)」的心態變成「以防萬一(just in case)」。
