2019年春夏期间，黑客们大举入侵电脑系统。2019年5月，巴尔的摩市遭受网络钓鱼勒索软件攻击，导致该市IT服务瘫痪。与此同时，另一起勒索软件攻击使德克萨斯23个州政府机构停工。切不要以为这不会发生在我们个人身上。
　　根据IMA^®（美国管理会计师协会）最新版的《管理会计能力素质框架》，管理会计师处于数据治理的第一线，以“确保数据的可用性、实用性、完整性和安全性”。来看看组织可以采取哪些保护措施以抵御日益增长的网络安全攻击风险。

网络攻击现状
　　根据威瑞森电信2019年《数据泄露调查报告》（DBIR，vz.to/34fXxam）——分析网络安全漏洞的年度报告，在2013年已确认数据泄露事件中，43%的网络攻击受害者为小型企业；69%为外部攻击，34%为内部泄露；23%是从国外发起的攻击，71%则是出于经济动机。一个令人心惊的发现是，在56%的安全事件中，最终察觉攻击需要数月时间。最常见的攻击类型是黑客攻击（52%），其次是社会工程学攻击（33%）和恶意软件攻击（28%）。是时候了解网络攻击的风险、数据泄露情况和发展趋势了。
　　预测网络安全攻击造成的损失想必足以引起你的注意，进而加强所在组织的网络安全防御。巴尔的摩勒索软件袭击者索要8万美元——而该市拒绝支付，最终的恢复成本预计为1800万美元。根据塔吉特公司2015年报，在2013年底的恶意软件攻击中，4000万客户的信用卡和借记卡数据被盗，使得该公司损失了约2.52亿美元的税前收入。保险覆盖和税收减免将这一成本降至约1.05亿美元。
　　第一道防线是提高整个组织对网络攻击风险的认识，以及员工可以采取哪些措施来避免风险。要求员工每年至少接受一次网络安全培训是十分必要的。得克萨斯州通过立法，要求在2019年6月前，即该州网络攻击发生前5个月，对大多数州政府雇员进行网络安全培训。因创智赢家节目享有盛名、同时也是一家网络安全公司老板的Robert Herjavec说：“人员、流程和技术将用以应对我们在网络安全方面共同面临的最大挑战。”

应急预案与网络安全政策
　　30年前，计算机崩溃后的备份和恢复措施包括从备份中恢复数据并灵活地运行。停机时间只是恢复备份所需的时间。如今时代变了。黑客可以控制并冻结组织的IT系统，拒绝所有访问，令公司业务陷入停顿。2019年8月，科罗拉多州丹佛市一所小型私立大学在秋季开学时遭到网络攻击，整套IT基础设施包括网站、电话、电子邮件和计算机系统，瘫痪了两个多星期。建立临时网站之前，学校沟通最初是通过其Twitter账户开展的，开课则延迟到系统恢复之后。没有一位领导者希望看到其组织成为网络攻击的受害者，因此做好准备是十分重要的。
　　考虑到IT基础设施有可能失去控制，十分有必要制定灾难恢复计划来应对攻击和恢复系统，以及制定业务连续性管理计划以便在从攻击中恢复时继续运营业务。在网络攻击方面行动越慢，所遭受的收入和声誉损失会越高。因此，必须制定正式的网络安全政策，包括如何部署该政策。即使该政策的初版只是要求断开服务器连接以阻止破坏蔓延、致电网络安全公司进行调查，也是朝着正确方向迈出的一步。政策越全面越好，就像组织会计内部控制系统一样，这些政策必须经过有效性测试。如果不知道如何进行，可以聘请一家网络安全咨询公司来开发、测试并审计这一政策。

网络安全保险：购者自慎

　　从网络安全攻击中恢复的成本可能很高，如上述塔吉特案例。降低攻击成本风险的策略之一是购买网络安全保险。美国Allied Market Research机构预测，到2022年，主要由美国市场推动的网络安全保险费用将增至140亿美元。保险单包括保费成本、免赔额和除外责任限制范围。但是要小心：确保了解保险政策和申请流程。许多保险单要求填写一份问卷，询问企业现有网络安全政策的相关问题。如果企业未制定网络安全政策，就如实回答没有。注意保险除外责任，威瑞森电信数据泄露调查报告里认定的最大风险之一是境外国家资助的网络攻击，可能被排除在保险范围外。此外，社会工程攻击也可能被排除在外，因为这些攻击反映出公司的网络安全政策不甚严格，是本可以通过网络安全政策和员工培训避免的。
　　管理会计师了解风险对其公司的不利影响，应积极参与制定内部控制措施和政策来预防攻击，保护公司数据。网络攻击正处于危险红区，且呈上升趋势。别让公司毫无防范。现在就立即采取措施，因为意外随时可能发生。

Kristine Brands，CMA，科罗拉多州斯普林斯美国空军学院管理学助理教授，也是ICMA董事会、IMA技术解决方案和实践委员会以及IMA丹佛百年分会成员。联系方式：kmbrands@yahoo.com

颖哲 译，郭强 校