讓網路攻擊無法動搖你的股價

A Cyberattack Doesn't Have to Sink Your Stock Price
可門.黃 Keman Huang , 斯圖爾特.馬德尼克 Stuart Madnick
瀏覽人數:521
公司若受到駭客攻擊,往往會導致股價下跌。其實,領導人可以採取一些回應措施,挽救股價危機。首先,不要試圖隱瞞發生的事件。接著,公開說明自家公司已經採取的相關網路安全措施,然後把重點放在計畫好的改進做法上。平時也要提早防患未然,了解網路攻擊演習的重要性,並懂得利用這次機會,展現自己力挽狂瀾的誠意,讓投資人更有信心。

根據Cyentia研究所的報告,超過六成的《財星》雜誌一千大企業,在過去十年間至少發生過一次公開的數據資料外洩事件。根據估計,每年有四分之一的《財星》一千大企業,因網路事件而遭受損失。據估計,每39秒就會發生一次網路攻擊。正如人們常說的,「遭受網路攻擊不是『會不會發生』的問題,而是『何時會發生』。」你是否有為此做好準備?

駭客攻擊可以讓公司股價暴跌,讓投資人怒火中燒。第一資本(Capital One)在2019年7月被公開報導遭駭客攻擊之後,公司股價在盤後交易當中立刻下跌近6%,在兩週內總計下跌13.89%。同樣的,2017年9月初,Equifax遭駭客攻擊的事件宣布後,該公司也在股市面臨類似的負面反應,股價在僅僅一週內從142.72美元,猛跌到92.98美元。更糟糕的是,它的市占率在2017年大幅下跌,之後也一直無法恢復。

不過,被駭客攻擊不一定是災難。舉例來說,2014年摩根大通集團(JP Morgan Chase)資料外洩事件,並未對它的股價成長造成負面影響,其實它的股價還小幅上升了。這個違反直覺的結果顯示,許多因素決定了資料外洩事件造成的後果。它們也顯示,公司可以採取一些措施以減輕聲譽受損,有時甚至還能提升自己的地位。我們研究與檢視超過14項已發表的研究,結果顯示,資料外洩事件可能導不同的後果,取決於產業、公司規模、資訊洩露的類型,以及回應的策略。在本文中,我們會把焦點放在公司的回應策略,這是公司最能控制的部分。

遭受駭客攻擊時如何回應

首先來談不應該做什麼。第一,不要試圖隱瞞已經發生的事件。有些策略會導致更嚴重的後果,例如掩飾事件的存在,或找藉口盡量減少自家公司的責任等策略。一個例子是,Uber透過漏洞賞金計畫付錢給駭客,以掩飾一起2016年資料外洩的事件。當這個事件在2017年被公開揭露,Uber的名聲大幅受損,並且在2018年被美國聯邦貿易委員會(Federal Trade Commission)罰款1.48億美元。雖然許多公司會把執行長推出去說「我對發生的事件深感抱歉」,或是開除資安長,但這兩種做法都沒有太大幫助。

那麼你應該怎麼做?這裡有兩個關鍵建議:(1)先說明你為這種事件所做的準備,有哪些地方做對了,以及(2)然後轉而說明你將如何進一步改善。

先說明你已採行的網路安全措施。我們的分析顯示,如果執行長能立即有效地說明公司已經設置的網路安全機制,顧客與股市都會因此感到放心。告訴大眾,公司在駭客攻擊之前,就已經在資安上進行重大投資,這可以顯示公司認真看待安全議題,特別是顧客的隱私。即使這些措施最終無法阻止那次攻擊,討論這些措施仍能減少一些損害:數據加密可以確保機密性,備份系統可以協助加速恢復,網路分割可以隔離攻擊事件,以減少影響的程度。如果正在閱讀這篇文章的你,還沒有被駭客攻擊過,現在會是個再次確認這類安全措施的好時機。

轉而說明已規畫的改善措施。在駭客攻擊事件發生後,應該立即採取並公告補救的行動,像是宣布大幅增加預算,以便進一步提高公司的網路安全能力。聘請更多網路安全專家,來增強內部的網路安全能力,這麼做也有助於維持顧客的信任。例如,摩根大通在資料外洩之後,發布大量關於這次攻擊的資訊,並加倍投資在網路安全上。

在內部改善措施之外,最好能公開提供監測服務(例如LifeLock)給所有顧客,以協助避免任何潛在的資料濫用,像是身分竊盜。這樣做,再加上宣傳你正在這樣做,可清楚顯示顧客受到良好照顧,未來也會繼續獲得妥善照顧。根據我們的分析,把這些駭客攻擊後的恢復策略結合起來,可協助組織降低或消除短期的股價下跌。

現在就做好準備

這些經過審慎規畫的立即回應措施,對恢復信心非常重要。但即使你不見得一定能夠阻止網路攻擊,還是可以預做準備。我們太常看到執行長立刻對媒體發表聲明,卻在幾小時或幾天後撤回聲明,這讓公司看起來像是不知道自己在做什麼。當然,這會嚴重降低大眾對公司的信心。

我們的研究,確認了網路攻擊演練如何處理上述情況的重要性。這包括讓最高層級主管(通常包括董事會)參與模擬網路攻擊,以發展並練習回應程序,並溝通說明策略。我們已經與一些公司進行幾次這樣的演練:我們提出一系列事件,有時是影片形式(就像可能會出現的新聞報導),然後讓高階主管對每個事件做出回應,之後我們會分析哪些措施的成效良好、哪些沒有成效,以及在真正事件發生之前,需要進行哪些額外訓練與準備。如果你的公司還沒有進行網路攻擊演練,就應該儘快進行。

重要的是,網路攻擊是場危機,但也可以是個機會。領導人應該謹記邱吉爾(Winston Churchill)的指導:「絕對不要浪費一次好的危機。」網路攻擊將目標公司帶到聚光燈下的同時,也為公司提供免費的宣傳機會,來展示它們保護利害關係人、顧客、供應商與社區的責任與努力。正因如此,精心排練的行動計畫與溝通策略才會這麼重要。組織不必怪罪網路安全團隊或容易受騙上當的員工,而應該把這類事件轉化為機會,藉由提高透明度、強化網路安全成熟度、提升競爭地位,來改善與優化本身的業務。

最好的結果,就是透過系統性的回應策略與對顧客的主動態度,來減少甚至消除網路事件的短期負面影響(例如對股價的影響)。然後,把這個經驗轉化用來促成組織擴大學習,以創造正面的長期影響和數位創新。這應該是每一位組織領導人的使命。如果這些事都能做到,而且做得很好,公司就會變得更優秀、更強大,以及更聰明。

(王怡棻譯)

致謝:這篇研究的部分資金,來自「麻省理工學院史隆網路安全聯盟」(CAMS)的成員。



可門.黃 Keman Huang

麻省理工史隆管理學院(MIT Sloan School of Management)的研究科學家,他主要研究網路安全管理與政策、創新生態系統,以及大數據分析。


斯圖爾特.馬德尼克 Stuart Madnick

麻省理工史隆管理學院資訊科技講座教授、該校工學院工程系統教授,以及「麻省理工學院史隆網路安全聯盟」(CAMS)主任,這是一個跨學科的聯盟,目的是要改善關鍵基礎設施的網路安全。他在1979年與人合著《電腦安全》(Computer Security),之後一直活躍於網路安全領域。


本篇文章主題安全與隱私