第 273 期 (2022年5月份)
駭客入侵 談企業資安危機的因應之道作者:張世泰
科技日益進步,臺灣近年來超過10家以上的上市櫃公司,遭駭客使用軟體攻擊並加以勒索,行業別包括電子、建築、生技、傳產與汽車零件等,部分被害公司選擇支付贖金,換取遭駭資料的解密鑰。部分公司選擇不向駭客低頭。
近日個人參訪一家甫被駭客勒索的上市公司,與高管深談並交換看法後,綜合以下意見。企業資安危機的發生時間點通常無法預測,由於事發突然,對於欠缺準備的企業容易造成決策失誤或巨大損失。然而危機發生並非毫無應對之道,只要企業正視危機管理,在各層面做好預防準備工作,即能在危機發生時把損害降到最低,最終迎刃而解。
危機發生的成因很多,應對處理方式會根據各產業實際案例而有所不同,但我們仍可歸納出六個重點來作為危機處理的參考,依序為評估應變、迅速反應、緩解傷害、有效控制、後續觀察與責任釐清。
首先在事件發生時應立即成立危機應變小組,通常由事發單位的最高主管與其次一級主管組成,再由公司一級主管指揮各團隊成員進行處置。危機應變小組需了解事件成因,將通報管道、通報人員與發現事證依時間軸循序列出,這樣做得目的,一、理清事件來龍去脈,盤點影響範圍與層面,二、便於向更上級主管匯報,同時也準備好進入快速回應階段。
在回應事件前,需針對特定「面向」擬定不同的內容,但請注意,並非刻意隱瞞或擔心責任歸屬而造假不實,而是要了解利益關係人的期待並給予相對有價值的資訊。例如:對執行長、營運長而言,可能想要了解此次危機是否直接影響企業營運或收益?範圍有多廣?恢復時間需要多久等,若此事件與社會大眾有關,則需妥善發布新聞稿,在不偏離主軸,展現誠懇誠實的態度來說明此次事件對大眾所造成的影響;甚或通報政府相關主管機關、發布重大訊息等。上述作法即是對企業內部、社會與政府單位作出快速的回應。
事件發生後危機處理小組應立即開始對事件做出減緩傷害、有效控制以及災後復原的計畫與執行方案;根據危機性質不同,有些屬於一次性事件,發生當下即結束,有些則屬於持續性事件,發生後持續造成影響,降低傷害通常需與時間競賽,團隊的後勤安排則時常被忽略,包含餐飲、輪班回報狀況等均需要妥善安排,才能持續在高壓狀態下替企業解決當前的危機;若企業本身無足夠能力減緩傷害或有效控制,可以尋求外部資源協助(例如:顧問、領域專家、政府機關),此部分也是至關重要的環節,若無法妥善處理甚會讓災害擴大,進而造成更多損失導致難以復原之結局。在事件過後,仍需持續觀察問題是否已被徹底解決?復原的狀況是否良好?改善的計畫是否完備等。最後無論是企業本身決策高層或是導致危機發生之職務人等,也需要為事件負起相關責任,可能涉及法律層面、公司規範或道德層面的責任,為事件做一個完整的結束。
成功的危機處理往往來自企業主願意「開誠布公」, 坦誠面對企業的管理不足,危機可能是轉機,企業若能藉此改變過去的錯誤或歷史包袱,就此重振旗鼓不重蹈覆徹,社會與市場都會給予包容;企業發展的過程也不太可能都一直順風順水,事件的發生在所難免,上述的六大參考依據:評估應變、迅速反應、緩解傷害、有效控制、後續觀察與責任釐清,提供讀者一個思維框架,若遭遇類似事件也能處變不驚,泰若自然,最終順利的度過難關。
(本文作者張世泰現為臺北企業經理協進會秘書長、臺商張老師)
