自2010年起,美國相繼發生破紀錄的資安事故。單一駭客攻擊造成兩百五十家以上企業、超過七萬五千個資訊系統遭駭。即便是好萊塢影視,或是信用機構報告公司也無法倖免於難。
有鑑於此,美國證券交易委員會(SEC)於2018 年公佈公開發行公司資安揭露指南(Commission Statement and Guidance on Public Company Cybersecurity Disclosures,簡稱指南),明訂企業年報資安揭露原則與董監事監督(Board Risk Oversight)職責。
美國五大揭露項目
指南臚列企業年報應揭露五大項目:風險因素、財務與營運分析、財務報表、商業描述與訴訟現況。由於篇幅原因,本文僅摘要前三項的重點。
1.風險因素:
從商業與營運角度,企業年報需揭露其資安風險、潛在成本與資安維護的成本,如:第三方供應商的風險和資安保險。此外,風險因素亦包含企業商譽的減損、相關法案的影響,以及進行中的訴訟等。
2.財務與營運分析:
指南建議年報列舉資安事故的處理成本、費用,或營運損失,如:事後立即的成本、進行中的改善費用、智慧財產損害、(未來)預防性措施的實施成本、保險成本、訴訟及與法案調查的成本,與、與進行中或現行法規之合規準備費用、修補費用、處理商譽減損的費用,以及競爭力喪失的損失等。
3.財務報表揭露:
本分析列舉財務報表的資安費用或成本項目,如:調查費、外洩通知費、修補費、訴訟費、與專家費用、收益短少、提供消費者的獎勵誘因、或消費者資產價值的減少、保固成本、合約外洩成本、產品回收或更新成本、交易對方保障的理賠、保費調漲、未來現金流量的短少、智慧財產權智財、或無形資產的損害、第三責任確認,或增加的財務成本等。
美國年報揭露釋例現況
根據SEC的要求,美國三大信用機構Equifax 在最新的年報揭露2017年個資外洩事故處理始末。回溯本事故,美國國土安全部曾提出資安漏洞的預警,三年後介入調查的司法部也確認其駭客的身分。
為了重拾國際社會的信心,Equifax在策略中強調他們將帶領這產業的資料安全,包含建立資料與技術安全,以及廣義的風險管理的文化,成為企業商業決策之基本要求。
有關在資安法規上,年報整理美國紐約州金融監理機關的資訊安全要求、歐洲一般資料保護規則(GDPR),以及加拿大、拉丁美洲、澳洲、紐西蘭、印度資安法或個資法的現況。
從風險因素的分析,Equifax說明2017年事件涉及美、加與英國個資。從商業與營運角度,由於他們的基礎建設將轉型至雲端服務,連帶增加資安威脅的可能性。儘管他們在資安保險投保一億五千萬美金,但不代表可以真正消除未來不確定的駭客損失。
