网络问责新时代：CEO为数据泄露承担财务后果

九月初，澳洲航空董事会决定对CEO Vanessa Hudson及其他高管进行处罚，扣除80万澳元（约合52.2万美元）奖金，起因是6月30日的网络事件导致近600万乘客的个人身份信息泄露。

上一次公开披露董事会因网络安全事件扣减CEO薪酬是在2017年，雅虎董事会因多次数据泄露事件处理不当，拒绝向CEO Marissa Mayer发放200万美元奖金，该事件涉及超过10亿用户的个人信息。

专家表示，若澳航董事会的裁决预示着CEO需为网络安全承担经济责任的新时代，对CISO而言将是一个受欢迎的转变。

法律行动与法规加强CEO问责

扣减CEO薪酬对企业董事会而言实属罕见，尤其是在网络安全事件方面。澳航董事会在声明中称：“尽管财务表现强劲，董事会仍决定因网络事件对客户的影响将年度奖金降低15个百分点。这反映了他们的共同责任，同时认可了支持客户及加强客户保护的努力。”

澳航董事长John Mullen强调，尽管CEO和管理层迅速响应以帮助客户，但董事会认识到事件严重性且应承担财务后果，这可能是为了切实提醒CEO应更密切关注常被忽视的企业网络安全状况。

澳航做出这一决定之际，政府机构和监管机构正加强对数据泄露后CEO的法律处罚。例如，2022年美国联邦贸易委员会认定酒类配送服务Drizly（现属Uber Eats）CEO James Rellas个人需为公司未能实施适当信息安全措施负责，该事件导致250万消费者个人信息泄露。

根据美国证券交易委员会2023年通过的新规，CEO和CFO若未能监督、报告或准确披露重大网络安全事件，将面临严重的个人与职业处罚，SEC可对违规行为处以数百万美元罚款。在州层面，如《加州消费者隐私法》和《纽约SHIELD法案》等数据泄露法律直接要求CEO对网络安全治理和事件响应负责。在欧盟，根据NIS2（网络与信息系统指令2）和DORA（数字运营韧性法案），CEO可能因违反网络安全规则而承担个人责任并面临重罚。

CISO与CEO的应对之策

历来承担数据泄露和恶意网络事件主要责任的CISO应关注这一新兴趋势。Redgrave律所合伙人Martin Tully建议：“了解当前环境与期望及其发展方向，尝试超前应对。你需要与董事会和执行团队合作，让他们认真对待这些问题。”

随着勒索软件攻击和网络事件对企业造成的损害加剧，外部投资者开始要求CEO承担更多责任。Tully表示：“提供风险投资或进行大量收购的公司，因网络与隐私日益重要，现在几乎以与财务尽职调查同等的标准进行网络与隐私尽职调查。”

对CEO而言，他们需与董事会更紧密合作，将其纳入组织的数据泄露和事件响应预案。OliverWyman合伙人Paul Mee指出：“董事会需要经过演练、实践并充分了解风险，以便事件发生时具备应对的肌肉记忆和沟通能力。否则情况将迅速恶化。”

就董事会而言，他们似乎正在快速学习。Mee表示：“董事会越来越重视这一问题。我与许多董事会互动，网络安全始终位列前三。AI目前可能是董事会的首要议题，但网络安全太过重要，在董事会中的可见度已超过以往。”

责任止于CEO

随着CEO和董事会向前推进，应明确数据泄露的责任止于CEO而非CISO及其安全团队。Mee指出：“过去，你将大量保护与风险降低的负担放在可能背景不同、也可能缺乏权力、影响力与治理能力以推动安全所需变革的个人身上。”

前Uber CISO Joe Sullivan表示：“仅靠安全团队无法保护公司免受攻击者侵害，因为公司的文化、风险承受能力以及对安全系统的投资是由CEO集体定义的。”