PGIM觀點

發生網路攻擊的頻率越來越高，破壞性也日益嚴重。為防止此類攻擊帶來的ESG負面影響，並導致信貸品質惡化，企業需要跟上飛速發展的技術腳步。

產業層面的分析可以顯示哪些領域最容易受到網路攻擊，公司層面的分析同樣重要，而且需要更加細緻的工作。公司的最佳實踐包括全面的網路安全、強有力的治理，以及董事會層面的專業知識。

透過正確的分析，投資者可以判斷哪些公司採用基本、更優或最佳的實踐，此類評估可以幫助企業將網路安全提上議程，並保護其客戶資產。

全球連接日益緊密，導致網路攻擊愈加容易

在數位化、雲計算、人工智慧以及數十億設備緊密關聯的環境下，使得公司越來越容易受到網路犯罪的攻擊。

2019年，物聯網由全球86億台聯網設備組成，而此前十年幾乎不存在聯網設備，自2019年後的四年裡，這個數字幾乎翻了一番，達到151.4億台，近乎全球人口的兩倍，預期到了2030年，物聯網的聯網設備數量將再翻一番，達到294億台¹。

聯網設備大量增加導致網路犯罪呈指數級增長，然而防範等級卻依然較低。IBM在2022年進行的一項調查顯示，83%的公司在過去一年中遭受過不止一次網路攻擊²。 然而，McAfee和CICS在2020年進行的一項調查顯示，僅有44%的受訪者制定過預防和應對IT安全事件的計劃³。

大多數網路攻擊都會造成重大的財務損失

並非所有企業都了解網路犯罪發展得有多迅速，很多企業低估了網路攻擊造成的戰略風險，或者低估了強大的網路安全能力可能帶來的戰略機遇，例如作為一種競爭優勢。

缺乏對網路安全的理解與投入可能會造成重大財務損失，我們認為，在分析ESG的風險和影響時，對網路安全因素加以考慮是非常重要的。

眾所周知，網路攻擊的財務影響包括對直接成本的影響，如違規回應、訴訟、監管合規和網路安全改進，但在大多數情況下，因數據洩露導致的財務影響更為廣泛，可能包括運營中斷、商標名稱貶值、客戶流失、信貸品質惡化，最終還會導致資本市場成本上升。

這些更為廣泛的影響往往鮮少為大眾所知，因為難以量化而且是長期性的，但通常卻佔總損失的很大一部分（有時是最大的部分）。

例如，跨國消費者徵信機構Equifax曾在2017年遭遇數據洩露，超過1.6億使用者的私人記錄遭到洩露，而此前，該公司以高出美債收益率150個基點的利率發行了10年期美元計價債券；2019年，信用評級機構標普將Equifax的評級從BBB+下調至BBB，稱「我們預計Equifax的槓桿率將在未來18個月內保持高位，這是由於基於其在以下領域進行了巨額投資：網路、數據和應用程式安全架構；技術和業務平台現代化；新產品開發；彌補數據洩露所造成的名譽損失」 ⁴。 2020年，該公司再次以高出美債收益率250個基點的利率發行了10年期美元計價債券。

良好的公司治理包括具備強大的網路安全能力

從ESG影響的角度來看，公司有責任保持強大的網路安全能力。敏感的客戶數據會暴露在風險之中，受損的IT系統也可能會危及關鍵設備。 這兩種威脅都可能對社會和環境造成重大破壞，包括敏感個人數據暴露、身份盜竊、數據災難性外洩、關鍵基礎設施停運，以及社交媒體操縱。

2017年的NotPetya勒索軟體攻擊是歷史上最大規模的網路攻擊之一，它導致烏克蘭的電網關閉，並造成約100億美元的經濟損失。

然而，即便是較小規模的網路攻擊也會帶來嚴重的後果，2021年2月，駭客攻進了佛羅里達州的水處理廠，並在幾分鐘內將氫氧化鈉的濃度提高了100倍，如果不是工廠操作員發現並立即採取了補救措施，此次攻擊可能會毒害當地居民。

其他網路攻擊也已被證明會帶來致命後果。2020年的勒索軟體攻擊迫使德國一家醫院關閉了急診科，一名本應接受治療的患者在轉移到另一家醫院的途中死亡，這成為了第一起直接由勒索病毒導致的死亡事件。加州網路安全公司Proofpoint聯合密西根州波耐蒙研究所（Ponemon Institute）於2021年進行了一項覆蓋600多家醫療機構的調研，結果發現，勒索軟體對被調研機構的攻擊導致病患死亡率上升了四分之一⁵。

註釋

1. Transforma Insights，“2019年至2023年全球物聯網的聯網設備數量，以及2022至2030年情況預測”，2023年7月。
2. “2023年數據洩露成本報告”，IBM。
3. Gann、Tom，“網络犯罪給政府帶來的隱性成本”，McAfee，2020年12月21日。
4. “Equifax公司評級因槓桿率上升而下調至BBB”，標普全球評級 ，2020年3月15日。
5. Miller、Maggie，“醫院網络攻擊造成死亡人數不斷上升”，Politico，2022年12月28日。

PGIMSITE20240205