时间:2022-12-26 11:24:02来源:财联社
据官方消息, 2022年12月11日,蔚来汽车收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。蔚来汽车称,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
随着万物互联的世界逐渐成型,数据安全成为各行各业最为关注的重点。与此同时,投资者也正在用更严格的视角,关注企业的数据安全表现。
数据安全成最受关注的ESG评级项目
近年来,有关数据安全的相关信息早已成为各大ESG评级体系中的重要环节,并成为左右企业ESG评分的关键。
在香港联交所的《环境、社会及管治报告指引》中,“描述消费者资料保障及私隐政策,以及相关执行及监察方法”属于强制披露内容;MSCI也将隐私和数据安全议题列为评级关键指标之一,在互联网、金融等行业隐私和数据安全议题的表现,将影响企业整个MSCI之ESG评级结果。
例如,Meta因屡次泄露隐私数据被罚款,2020年,MSCI调低了对该公司ESG评级。
Bloomberg Law 的分析证实,越来越多的公司将数据隐私视为 ESG 问题,同时,网络安全已成为美国企业第二关心的 ESG 问题,仅次于反腐败。对消费者与用户而言,人们也越来越关心企业对其个人数据的道德使用,要求建立数据安全企业问责制和透明度。
开放数据研究所 (ODI)和 YouGov 的消费者调查显示 ,87% 的受访者认为企业以合乎道德的方式使用数据很重要。
而毕马威的一份报告显示,在最近的一项调查中, 67.4%的受访企业将网络安全列为他们最关心的ESG问题,这些企业来自美国、加拿大、欧洲和亚洲。
安永大中华区科技、媒体与电信行业咨询服务主管合伙人张伟雄表示,随着近年来大数据、人工智能的普及,数据与隐私安全、就业冲击、道德与伦理等也成为科技企业在ESG实践中关注的重点。
毕马威在研报中表示,数据安全不仅与ESG中的 "G"(公司治理)息息相关,并与"S "(社会影响)和 "E "(环境保护)的目标保持一致。
在公司治理层面,企业应该具有强大的应急措施,以应对网络漏洞、数据泄露的发生。同时,对网络风险指标的报告可以提供一个了解企业整体行为的窗口,让投资者对一家企业的运营能力有完整的了解。
在社会影响层面,如果客户的个人数据被公开,其个人隐私,以及企业与客户的关系将受到严重损害。公众已经越来越关注企业数据安全的重要性,他们希望确认自己的数据不会被分享或出售给其他组织。
当今世界的相互联系,意味着一个公司的网络政策、合规性和风险衡量标准可以产生深远的影响,并在整个社会中产生连锁反应。拥有强大网络安全计划的企业,能够很好地改善其运营生态,并将这一影响扩散至其他企业。从这个正循环目标来看,其与环境保护的治理逻辑同根同源。
数据安全难自控,国内企业仍需提高安全意识
然而,对企业而言,数据安全领域的挑战并不小。
美国咨询公司Morningstar Sustainalytics 认为,大约 20% 的与网络安全相关的风险是无法自主管理的,因为部分风险与公司外部人员(例如黑客)采取的行动有关。
据SpyCloud发布的《2022年勒索软件防御报告》显示,尽管企业增加了打击勒索软件的投资,但是在过去12个月中,90%的受访企业都受到了网络勒索攻击的影响,50%的企业至少遭受过两次勒索攻击,20.3%的企业遭受勒索攻击的次数为6到10次,7.4%的企业遭受勒索攻击的次数超过10次。
今年1月,科创板上市企业九号公司旗下国际品牌赛格威(Segway)遭黑客攻击,在线商店被植入Magecart恶意脚本长达一年之久,顾客结账过程的信用卡与个人信息可能遭到窃取;3月,丰田公司遭受网络攻击,导致关键供应商出现系统故障,被迫宣布暂停日本14家工厂内28条生产线,融易新媒体,这将令公司月减产约13000辆汽车;9月,服装品牌North Face遭到网络攻击,黑客破坏了近20万个用户账户,并获得了客户全名、购买历史记录、账单地址、送货地址、电话号码、账户创建日期、性别和奖励记录等信息。
不仅止于互联网科技企业,在数字化转型的进程中,各行各业都面临着越来越大的数据泄露危机。
然而,对于国内企业而言,刚刚起步的ESG标准体系尚未得到普遍重视,部分企业对数据安全能力的意识并不突出。