一次网络袭击，如何击垮一个CIO？

早在2015年，彭博法律（Bloomberg Law）的撰稿律师就将C级别安全高管形容为“网络破防后的天然诉讼对象”。他们预测，法律索赔迟早会被常态式延伸至社内高层法律利益方的身上，首当其冲的就是CIO（首席信息官，有时也叫作CISO、CSO、CTO等）。后来，有一名美国网络评论人士保罗·博格曼（Paul Bergman）在领英上发文称：“法院正在抬高追究高管和董事个人责任的门槛，有越来越多的案件让CISO成为了网络安全事件后的替罪羊。” 

以上预测是正确的。不论是不是替罪羊，Uber的前任安全官乔·沙利文（Joe Sullivan）都已被视为第一个因此面临刑事指控的网络安全高管。去年，在旧金山的联邦法院，沙利文以在2016年黑客袭击导致5700万驾驶者和乘客的电邮地址和电话遭到泄露之后，犯下妨碍司法和未能举报犯罪的罪名而被判有罪。

之后还出现了更多类似案件，虽然亚太地区目前还未发生，但这种情况很有可能即将改变。Maurice Blackburn及Slater & Gordon等律师事务所都正在调查是否能向Medibank和Optus就去年广泛见报的信息泄露事件提起集体诉讼。如果诉讼成行，这两家公司的安全高管或会面临提告。

“澳大利亚和新西兰的董事和高管比其他亚太国家更容易面临因不当行为或不作为而被究责的局面。”悉尼其礼律师行（Clyde & Co.）合伙人派翠克·柏德曼（Patrick Boardman）说，“比如说，ASIC最近就以未能保护公司免受重大风险影响的失职罪名，把悉尼星亿赌场（Star Casino）整个董事会告上了法庭。”

高管在什么情况下需要负责？

当重大网络袭击发生之后，首先会由法务人员进行检查，判别其发生过程，以及这次袭击或造成的后果是否原本可以避免。

“这势必会把焦点放在CIO的工作以及是否尽职的问题上。”柏德曼说，“而损失越大，受到检查和究责的几率就越高，但追究的责任会始终基于失职导致的损失，而非袭击导致的损失。”

通过保险提供保障

对于D&O险是否应该包括网络风险，业界一直争论不休。

“目前最普遍的观点是应该，因为任何索赔的依据都是高管失职行为。”柏德曼说，“而这完全符合D&O险原本存在的意义和用途。”  

然而，网络险也可以提供一些保障。

苏黎世保险澳大利亚与新西兰公司（Zurich Australia and New Zealand）金融业务总监比尔·哈索斯（Bill Hassos）说：“网络险一般会覆盖一系列自身损失，如泄露成本、法务调查及商务收入损失等，以及他人损失，包括公司及其董事、高管、员工受到的监管程序和罚款等。” 

有些提供D&O险的保险商会与自己的网络险核保人保持密切合作，帮助其评估客户公司的网络风险敞口。 

“保险商会部分依赖于该公司在网络险核保人的D&O风险评估中的表现来判断。”柏德曼称。

柏德曼建议CIO一定要确保自己的名字已经被加入了D&O险和网络险当中。

“不要自认为你已经得到了保障。”他写道，“对于CISO/CIO/CTO到底是高管（officer）还是公司董事（director），是很难界定的一件事。就算你是管理层的一员，出席董事会议，但这并不代表你就是一名高管。一定要把你的名字加到保单里，或至少把你的职位名称加进去，但要确保你有证据能证明这是你的职位。”

防患于未然是最好的保障

对于任何风险，预防是最好的保障。

“公司应当持续不断地开展网络风险评估和培训，并分析核心业务流程的网络风险敞口。”哈索斯说，“这可以由网络风险工程师独立完成。公司应该有以详细文件落实的网络安全策略，完善的风险管理、政策和流程，网络安全的管理指标，以及经验丰富、头脑灵活的信息安全官，这样的人才是现代企业的必需人员。” 

柏德曼指出，CIO必须向董事会提出意见和建议，确保董事会得到制定预算所需的充分信息。但他们可能也会受到分配到的预算的限制。 

“如果能完善地书面记录他们所做的考虑和意见，那在索赔案件的辩护当中可能也会起到莫大的作用。”他如是说道。

点击阅读英文版