PGIM觀點

哪些產業最容易受到攻擊？

如今，所有公司都無可避免面臨網路風險，但風險程度取決於幾種情況。我們認為，產業特徵和網路防範措施均是投資者應考慮的關鍵因素。

IBM的數據顯示，製造業、金融和保險，以及專業服務、商業服務及消費者服務等產業受到的攻擊最為嚴重¹。製造業公司對供應鏈中斷的包容度很低，特別是在疫情後供應鏈承壓的情況下；在金融公司，系統受損可能會導致全球貿易停滯，而且這些產業均掌握客戶的敏感資訊；專業服務、商務服務和消費者服務公司也擁有敏感的個人數據，以上三個產業因其有能力滿足財務需求，所以都是網路攻擊的目標。

據其他公佈數據，政府、金融、商業和專業公司，以及醫療健康行業是最容易被針對的行業，如果駭客的動機是贖金，那麼製造業和批發、零售業也很容易受到攻擊。

總的來看，駭客的視角可能受到以下因素影響：

01

網路攻擊可能對公司內、外部業務中斷造成的影響。例如關鍵基礎設施（包括製造設施、公共設施、醫療健康系統和銀行系統）非常容易受到攻擊，這些產業內的公司因高額成本通常無法容忍停機，且一旦業務中斷會嚴重影響利益相關者。

02

公司所持有數據的範圍與敏感性。敏感資訊的範圍很廣，覆蓋了企業數據到個人數據，擁有大量個人敏感訊息的產業和公司包括政府機構、金融公司和醫療機構。

03

公司在軟體攻擊中滿足財務勒索的能力。2021年，美國主要燃料管道運營商Colonial Pipeline遭受勒索軟體攻擊，對公司外部產生重大影響，這是關鍵基礎設施遭受網路攻擊的代表案例，駭客進入Colonial的IT系統，用勒索軟體攻擊系統並竊取數據，而為了防止勒索軟體的傳播，Colonial關閉了管道數日，這些管道承載了美國東海岸45%的天然氣、柴油和航空燃料的供應，因此該次關閉導致燃料大範圍短缺，並引發了政府關注²。

上一篇「網路安全如何影響ESG與信貸品質？(上)」提到的2017年Equifax駭客攻擊就是網路攻擊導致個人敏感資訊暴露的一個典型案例，近幾年，電信運營商T-Mobile在2021年遭受網路攻擊，導致約7,600萬人的個人資訊遭到洩露，根據隨後的集體訴訟，被洩露的資訊包括消費者的姓名、地址、電話號碼、出生日期、社會安全號碼或稅務識別碼、其他政府ID、帳戶資訊、手機識別碼、個人識別碼（PIN）和個人密碼³。

最終，T-Mobile以3.5億美元與原告達成和解，並承諾投資1.5億美元用於數據安全和網路安全技術鞏固，但在2022年11月，該公司再度遭受網路攻擊，導致數據被盜，其中包括3,700萬客戶的地址、電話號碼和出生日期資訊。

投資者該如何評估單一公司的網路防範措施？

產業特徵是評估一家公司對駭客有多大吸引力的第一步，然而更微妙也更重要的一部分，是分析公司本身。但考慮到公司對揭露有關網路防範措施的資訊異常敏感，這種評估的實施可能十分困難。

透過分析公司提供的資訊來瞭解其網路防範措施是一個很好的起點。對網路防範措施的評估不僅應包括已安裝的安全軟體，還應包括對公司治理、網路風險管理、網路安全結構、事件回應以及防禦和遏制流程的分析。

與公司就該話題進行溝通，可能會讓投資者更好地瞭解管理層的想法及其參與程度，包括他們能否詳述網路安全及其對公司的意義、彙報程式和事件計劃是否到位、歷史事件的影響有多嚴重、過去的事件是如何處理的、以及公司從經驗中學到了什麼。

上述以及其他所有向管理階層提出的問題，都能讓我們更深入地瞭解一家公司的防範措施。

其他考慮因素

網路安全在不斷發展，因此對於公司和投資者而言，需要持續思考新發展變化，才是明智之舉。

目前，客戶越來越關注隱私和數據安全，監管機構也注意到了這一點，2023年7月26日，美國證券交易委員會（SEC）宣佈新規定，要求上市公司在4天內揭露嚴重事件，並需要每年揭露有關網路風險管理、戰略和治理的重要資訊，該份規定已於2023年12月生效⁴；在大西洋彼岸，歐盟也正在加強其《歐盟網路安全法案》的修訂。

在愛爾蘭，Meta由於在歐洲與美國之間傳輸了用戶數據，於2023年5月受到12億歐元的罰款，Meta沒有實際的違規行為，但愛爾蘭數據保護委員會認為Meta違反了歐盟的《一般個人資料保護規則》 （GDPR）；在美國，消費者隱私同樣日益受到關注，2023年7月，拜登政府實施了智慧設備網路安全標籤計劃，以保護美國消費者⁵。

網路保險是另一項持續發展的領域。過去三年，網路保險的成本平均每年翻一輪，一些保險公司不再為政府支持的網路攻擊提供保險⁶，這種排斥可能會讓各行業感到擔憂，尤其是作為主要攻擊目標的公用事業和銀行業。

最後，人工智慧和量子運算可能會極大地改變網路安全狀況。兩者都可以透過更強大的加密演算法加強網路安全，但攻擊者也可能會使用加密演算法，人工智慧網路犯罪工具的技術已經得到改進、實現網路釣魚攻擊的自動化，並能夠生成惡意代碼，而量子運算將有能力使目前大部分加密技術失效，並洩露其保護的數據。事實上，網路犯罪分子已經在收集他們目前無法訪問的加密數據，並等待著利用量子運算對加密數據進行解密。

結論

在飛速發展的數位世界裡，網路攻擊變得愈加頻繁，危害也愈加嚴重。就ESG影響和信貸品質而言，可能會造成重大的實質性影響：網路攻擊可能會給公司及其利益相關者造成嚴重的短期財務成本影響和長期影響。

基於上述原因，公司需要跟上技術的飛速發展，最佳實踐包括全面的網路安全、強有力的公司治理，以及在董事會層面的專業知識，透過正確的分析，如PGIM資產管理公司可以幫助保護客戶資產，並將網路安全提上企業議程，這一目標應該成為每個投資者信貸與ESG評估的一部分。

註釋

1. “2023年X-Force威脅情報指數”，IBM Security。該報告提供了基於威脅數據及對IBM所涉及事件的回應的重要發現。
2. “情況說明書：拜登-賀錦麗政府已經啟動一項全政府計劃以解決Colonial管道危機”，白宮，2021年5月11日。
3. “T-Mobile分享了進行中的網路攻擊調查的最新資訊”，2021年8月17日。
4. 美國證券交易委員會通過了上市公司網路安全風險管理、戰略、治理和事件披露規則，美國證券交易委員會，2023年7月26日。
5. “拜登-賀錦麗政府實施了智慧設備網路安全標籤計劃以保護美國消費者”，白宮，2023年7月18日。
6. Patten、Sally，“隨著索賠激增，網络保險費飆升了80%”，金融評論，2022年9月12日。

PGIMSITE20240224