商傳媒|方承業/綜合外電報導
隨著數位轉型加速,企業面臨日益頻繁、複雜且協調性更高的網路攻擊威脅。尤其在生成式人工智慧(AI)技術助長下,網路風險進一步加劇,如深度偽造(deepfakes)與AI自動化攻擊等先進網路釣魚手法層出不窮。面對此趨勢,新加坡交易所(SGX)已要求所有上市公司將資安視為董事會層級風險管理的核心,並對此進行資訊揭露。
根據《The Business Times》報導,良好的公司治理要求上市公司的董事會,通常透過審計委員會,實施健全的網路風險治理框架與事件應對計畫。企業必須具備足夠且有效的內部控制與風險管理系統,涵蓋財務、營運、法規遵循及資訊科技(IT)控制等方面。持續維持一個有效、獨立且資源充足的內部稽核職能,亦是關鍵所在。
董事會應明確定義公司願意承擔的重大風險性質與程度,並在年度報告中揭露已獲得管理層適當的保證。為應對潛在資安危機,董事會應發展一套全面的網路風險應對手冊(playbook),內容可包括企業級的網路風險框架、經過測試的事件應對與業務持續營運計畫、與風險校準的網路保險,以及對資安與揭露控制措施的定期獨立保證。此類指引對台灣企業而言,亦具備重要的參考價值,強調資安不應僅是IT部門的責任,而是最高管理層必須積極參與的策略性議題。
回顧近期案例,澳洲航空(Qantas)已於2025年10月因Salesforce遭到攻擊,導致近600萬客戶的個人資料外洩。駭客利用「語音釣魚」(vishing)假冒員工,騙取權限存取敏感數據。去年,新加坡的Toppan Next Tech也發生勒索軟體事件,造成多家新加坡主要銀行客戶資料受損。這些事件突顯了機密客戶資料外洩不僅會損害客戶信任、企業聲譽,更可能引發法律訴訟。
新加坡的監管機構要求上市公司,一旦發生可能影響股價或公司價值的重大資安事件,必須透過SGXNET及時公告。這項市場揭露義務在2001年《證券與期貨法》中亦有法定依據。可能構成重大影響的資安事件包括營運中斷、敏感資料外流,或威脅到財務表現的系統停機。此外,新加坡當局強烈不鼓勵企業支付贖金給網路攻擊者。儘管此舉不違法,但無法保證資料能被解密或避免再次受攻擊,甚至可能讓企業被視為「軟目標」而反覆遭遇襲擊。董事會必須確保內部控制措施能明確應對IT風險,且揭露控制措施足以處理快速變化的資安危機。
