科技與生活的關係日趨緊密,香港每人平均擁有兩個流動電話,當中大多連接互聯網。隨着全球的聯繫愈發緊密,資訊實現更高層次的共享,同時推動各類創新項目和嶄新技術解決方案的應用,為人們的生活創造價值。不過,我們如何確保資訊得到妥善使用?我們又應該如何保護自己免受數碼時代衍生的新風險所影響?
網絡風險影響範圍廣
儘管大眾對網絡風險的意識和關注度不斷提高,網絡風險形勢仍時刻在迅速演變。網絡風險牽涉多項因素,加上企業業務日益複雜和全球一體化的影響,全面理解和評估相關的風險亦變得愈困難。自然災害所造成的損失通常只局限於某個地區,但單一個網絡事件卻可能會影響企業在全球的多項業務。科技的急速改變和缺乏歷史損失數據也為風險建模帶來進一步挑戰。在互聯社會中,資訊被廣泛收集,網絡風險不再僅僅局限於商業機構,而是影響社會的方方面面:包括公共部門、城市和個人層面。
建立網絡防衞機制需要從落實基本步驟開始,並涉及社會的各個層面,需要個人、企業和國家攜手合作。從個人教育到定期推廣活動都有助提高個人及企業的風險意識,為建立一個具備網絡防衞機制的社會創造良好基礎。
近幾個月發生了數宗引人注目的網絡風險事件,表明數據隱私遭洩露可能導致嚴重損失,並對企業造成深遠影響。網絡漏洞所帶來的後果遠遠不止數據丟失或數據損壞這些影響,更會造成財務損失,令公司背負法律責任。網絡風險更會影響公司的無形資產,包括聲譽、知識產權和客戶信任。企業必須採取更多措施以策萬全,防禦潛在的網絡風險,密切留意並檢測網絡入侵行為,展開深入分析,並以適當的方式作出回應。
中小企更需外界支援
儘管企業和社會各界開始認識到網絡風險的影響和嚴重性,但許多人尚未做好應對準備。網絡的複雜特性使這情況更為嚴竣,舊有硬件和軟件可能存在長期的漏洞,以致未能應對急速改變的網絡風險。事實上,採用一些簡單措施,如更新軟件、使用防衞能力更強的安全設置,已經可以幫助企業降低風險。
中小企業佔香港整體商業機構九成八以上,僱用近半數本地勞動力,他們在管理網絡風險和建立網絡防衞機制方面尤其需要外界支持。然而,這類公司通常缺乏相關資源或技能,未能實施全面的網絡策略,與大型企業相比更容易受網絡風險影響。針對這一領域,保險業界具有風險識別和定價經驗,並已建立良好風險管理實踐方案,可以發揮重要作用。
愈來愈多企業就潛在損失風險尋求保障,保障範圍已遠遠超出數據洩露和第三方責任所產生的直接成本。這些機構更多時候希望對業務中斷、聲譽損害和有形損害尋求保障。雖然網絡保險市場仍處於初期階段,但毫無疑問,各界已對此表現出極大興趣,保險需求也不斷增長。行業人士預計,近期的網絡風險保障產品增長率將保持在每年約三成左右,截至2022年全球有關保費更將增至140億美元(2016年的保費約為25億至35億美元)。
公私營合建數據共享框架
然而,如果未能充分了解其所需要承擔的風險,許多保險公司或會設定較低的賠償限額和各種除外條款,以控制潛在損失。例如,較少保險公司願意保障因網絡事件所導致的知識產權盜竊或有形資產損壞。要讓保險公司願意為企業承擔更多風險,就必須為其提供或取得更為充分的數據來進行承保評估,以便能夠更準確地就網絡風險進行定價。為促進訊息共享,企業、保險業界和政府必須合作建立數據共享框架。
防禦網絡風險因此不僅僅是私營企業和保險公司的職責。政府的角色亦至關重要,尤其在提高大眾意識、制定合適法律框架,以及訂立機制以收集和發放相關數據。政府亦應該在收窄保障缺口方面發揮積極作用,尤其為再保險和保險公司在大規模攻擊的情況下提供最後擔保。政府提供的最後擔保能夠降低不確定性,有助再保險和保險公司擴大風險承受度,承擔更多風險。
網絡風險是一項需要企業、政府和再保險及保險公司共同關注的課題,有關各方必須緊密合作,以應對日趨嚴峻的網絡威脅,防禦風險工作刻不容緩。
黃碩輝
