公司董事会准备好应对网络安全问题了吗？我们的调查显示…… ——《华尔街日报》

wsj

2023-06-07

《华尔街日报》专业版研究总监罗伯·斯隆（左）与研究分析师莱斯利·阿塞博正在讨论由《华尔街日报》专业版与美国公司董事协会联合开展的调研。图片来源：华尔街日报董事会具备网络安全监督能力吗？

随着企业面临层出不穷的网络攻击，以及人工智能技术可能使攻击手段变得前所未有的复杂，这个问题的重要性已升至历史高点。

此外，由于美国证券交易委员会即将在未来几个月发布新的网络安全风险管理规定，董事会应对网络攻击的准备情况或将受到空前关注。根据拟议规则，企业必须披露当前重大网络安全事件并提交报告，同时需对已披露事件提供定期更新。企业还需报告其识别和管理网络安全风险的政策与程序，并披露具备网络安全专业背景的董事信息及董事会监督网络安全风险的具体机制。

《华尔街日报》专业版与美国公司董事协会对472名企业董事开展的联合调查显示，各机构应对网络攻击的准备程度存在显著差异。

上周举行的《华尔街日报》专业版网络安全在线论坛公布了关键数据点，研究总监罗伯·斯隆与研究分析师莱斯利·阿塞博在会上分享了分析观点。以下是编辑摘录：

专业水平

**ACEBO：**没有人期望董事会成员成为技术专家，也不要求董事会深陷日常运营细节。但美国证券交易委员会（SEC）的拟议规则指出，董事会必须披露哪些董事具备网络安全专业知识及其专业性质。

这意味着仅声称董事会包含网络专家是不够的。董事会需要向投资者和公众提供证明。因此我们询问受访者，其所在董事会是否包含网络安全专家。罗伯，我们的发现是什么？

**SLOAN：**结果令我非常惊讶。大多数受访者表示其董事会已设有网络专家董事。实际上，76%的受访者表示董事会至少有一名网络专家，部分甚至更多；19%表示其董事会中有三名及以上网络专家。近九成的消费品和零售企业拥有专家董事，而能源和公用事业公司中这一比例降至三分之二。

若这些结果接近现实，企业状况确实良好。但我认为，问题可能在于对"网络专家董事"的界定不够清晰。正如谚语所说：盲人国里，独眼称王。

很可能某些不具备专业知识的董事高估了其他成员的技能，而实际上他们可能同样欠缺相关能力。

董事会影响力

**ACEBO：**上市公司董事会成员的专业水平略优于私营企业。正如预期，大企业比小企业更可能拥有专家资源。

接下来我们来看第二组数据点，这些数据关注网络安全专家董事的贡献。我们向受访者询问了网络安全专家董事对其董事会的影响。在62%的情况下，董事会对网络风险的整体认识有显著提高：网络安全专家董事的知识与其他董事共享，从而提高了整体认识。

在57%的情况下，董事会从管理层获得了更好的网络风险信息，这可能是因为网络安全专家董事开始提出问题或从管理层获取更符合其要求的信息。

约46%的受访者表示，董事会监督和管理网络风险的能力有了很大提高。在30%的情况下，拥有网络安全专业知识的董事导致管理层对网络安全的方法发生了变化。因此，总体来看，结果非常积极。

斯隆： 然而，并非所有方面都如此乐观。只有48%的受访者表示，网络安全专家董事能够广泛参与所有董事会讨论。这是专家们经常提出的问题之一，即为什么招聘首席信息安全官不一定是提高董事会层面网络监督的答案——因为网络安全专家有时可能只是“一招鲜”。

同样令人困扰的是，在近四成的情况下，董事会成员在网络风险监督问题上会听从专家的意见。这导致围绕网络安全和风险的讨论整体减少，并在某种程度上解释了为什么并非所有公司的网络风险意识都有显著提高。其余的董事会则干脆让指定的专家做出所有决策。

ACEBO: 当被问及董事会应对网络危机的准备程度属于基础、有限、中等、高级还是专家级别时，30%的董事将自家董事会评为高级或专家级别。小型企业准备更不充分。大型企业董事将董事会评为专家或高级的比例是小型企业的两倍。而小型企业董事将董事会应对网络危机能力评为基础或有限级别的比例约为大型企业的三倍。

SLOAN: 行业内部存在显著差异。数据显示45%的科技公司受访者将自家评为高级或专家级别，表现最佳；消费品和零售公司占比39%；金融服务公司略低，为34%。

表现最差的仍是能源和公用事业公司，仅21%。

重大事件应对

SLOAN: 最后一项数据关于重大事件准备情况。我们询问上市公司董事：“在发生重大网络风险或事件后，贵公司董事会对SEC报告和披露要求的明确程度如何？“结果再次凸显了大、中、小型公司间的差异。

ACEBO: 数据显示，95%的大型公司董事会清楚重大网络风险/事件相关的报告披露要求。该比例在中型企业降至81%，小型企业仅为60%。

工业制造、科技和金融服务公司表现最佳。医疗保健、能源和公用事业公司则需最大改进。

我们还询问了董事们上一次进行以网络安全为主题的桌面演练的情况，这是一种公认的为事件做准备并发现响应计划中漏洞的方式。与我交谈的一位专家建议董事会至少每年尝试进行一次演练。但我们的结果显示，大多数企业未能达到这一标准。在过去12个月内进行过桌面演练的企业包括40%的大型公司、35%的中型公司和25%的小型公司。

三分之二的小型企业从未进行过关于网络安全的桌面演练，考虑到网络攻击可能造成的破坏性和毁灭性，这一点尤其令人担忧。总体而言，只有7%的企业表示他们每年进行两次演练。