德勤网络攻击

中国首席财务官洞察网络攻击导致的七类隐性成本网络攻击可能会对一家公司的各个方面造成影响——产生各类成本,且因事件性质与严重程度的不同其影响也会有所差异.
大多数情况下,公司对网络攻击的认知通常都来源于其必须对外披露的消息,主要指公司迫于公众或舆论压力,不得不对外披露客户个人身份信息、支付信息以及健康信息泄露的情况.
在此过程中,公司会非常被动,客户知会成本、资金损失、信用评估以及可能的法律判决或监管处罚都将成为公众讨论的焦点.
需要特别指出的是2016年11月,全国人大通过了国内首部网络安全专业法律——《网络安全法》,并将于2017年6月1日正式实施,《网络安全法》从国家法律层面明确了公司在网络安全保护方面的责任和义务,阐述了公司数据和和个人信息保护的要求,强调了公司的违法责任和处罚措施,这将对公司网络安全和数据保护带来不小挑战.
正因为网络攻击的影响所带来的成本和处罚,业界现越来越关注每条客户数据泄露的"单位成本"的估算.
相对于信息泄露,知识产权侵犯、间谍活动、数据损毁、核心业务攻击、关键基础设施破坏活动等案例却极少被关注.
这些攻击对公司造成的影响可能更大,并产生更加难以计量且通常不为公众所知的其他成本.
德勤咨询最近开展的一项网络安全研究《透过表象:深入分析网络攻击的商业影响》从财务角度概述了网络安全事件的严重程度和影响持续时间.
本期的《首席财务官洞察》将聚焦通常并不为人所关注的七类成本,并分析将其纳入网络攻击总成本估算的重要性.
中国首席财务官洞察网络攻击导致的七类隐性成本隐性成本德勤风险咨询网络安全研究报告显示,网络安全事件影响过程可持续五年,在这个过程中,主要产生14类商业影响——七类"显性"成本(包括资金损失、当事人补偿、法律诉讼、监管处罚、增加技术投资等)和七类"隐性"成本(如下文).
对于已确定的无形成本,报告中采用了各类财务建模技术(参见补充栏:无形损失的相应价值)来进行损失估算.
从报告给出的案例来看,通常与数据泄露有关的直接成本远不及隐性成本.
实际上,德勤研究结果表明,与数据泄露有关的直接成本所造成的影响还不到总体商业影响的5%.
鉴于隐性成本所产生的影响之大,首席财务官应注意以下七类隐性成本:1.
业务运营中断或破坏业务运营中断或破坏的影响属变动较大的成本类别,其中涵盖了正常业务运营中断或调整的相关损失以及公司运营恢复的成本.
这些成本包括设备和实施维修、修建应急基础设施、灾备迁移或重新增加部署基础设施来支持公司在系统和设备遭受临时破坏的时候保障有效运营.
运营中断或破坏还将包括因无法提供产品或服务而导致的损失.
运营中断所带来的影响估算取决于运营中断性质,估算需要视具体情况而定,需要了解各种不同的运营中断有关信息.
2.
客户流失,重新获客成本增加企业在数据泄露初期很难追踪和确定流失的顾客量.
基于这一挑战,经济学家和公司市场团队通过给每位顾客或成员设定"价值"的方式确定公司重新获客所须投资的金额.
这样,经济学家和公司市场团队就可以分析每位客户在一段时间内可能为公司带的收入.
各行业和公司可以根据该"价值"数据评估网络安全攻击所带来的客户流失或重新获客的投资,也就是新增加的客户维护成本.
3.
合同收入及附加价值损失合同收入价值损失包括合同收入和最终收益损失.
此外,该价值损失还包括因网络安全事件而导致合同终止,进而失去未来机会的情况.
德勤在测试案例中估计网络攻击前和网络攻击后的合同价值,以确定合同收入价值损失所造成的财务影响.
网络攻击发生后,若受影响的公司失去合同,可基本确定其收入将出现下降,同时在合同期间内获取的现金流的折现值也将损失.
4.
品牌受损,商标贬值商标贬值是一种无形成本,指公司用以突出其产品和服务的名称、符号或标志所遭受的价值损失.
要确定网络安全事件对公司商标所造成的财务影响,就需要对网络安全事件发生前后可能的商标价值进行评估.
德勤采用许可费节省法对商标进行估价.
许可费节省法通常用于商标等知识产权资产的估价,该方法通过分析另一实体获得公司商标使用授权所需支付的成本实现估价目的.
德勤根据类似知识产权实际特许权交易中所采用的特许权使用费或费率,并分析测试案例所涉及的各个行业所采用的利润率,设定合理的"特许权使用费",以确定该行业内公司一般情况下需支付的成本.
5.
商业信誉受损,融资成本增加遭受网络攻击,企业商业信誉受损,信用评级下降.
遭受网络攻击的公司在首次融资或债务谈判时,都将面临更高的借入资本利率,从而导致融资成本的增加.
根据德勤统计,在网络安全事件发生后的几个月内,这些公司均被视为高风险的融资方.
德勤曾对九家上市公司(同一行业且规模相当)信用评级进行了分析,德勤将这九家公司与近期遭遇过网络安全事件的公司一起评估时发现,信用评级机构通常会在短期内将遭受网络安全事件的公司的信用评级下调一级.
中国首席财务官洞察网络攻击导致的七类隐性成本6.
知识产权受损知识产权受损是一种无形成本,指公司失去对商业机密、版权、投资计划以及其他专有和机密信息的完全控制,导致竞争优势丧失、收入损失以及持续且可能无法挽回的经济损失.
知识产权包括但不仅限于专利、设计、版权、商标和商业机密.
与商标价值类似,知识产权价值的估计也通过粗略估计另一方获得知识产权使用授权所愿意支付的成本得以实现.
7.
潜在的网络安全保险费用随着《网络安全法》的颁布,国内网络安全立法体系的完善,保险意识加强,企业在网络安全事件发生后,投保意愿会日益强烈,这无形中将导致保费的增加.
在海外,德勤针对提供网络保险产品的主要保险公司开展的一项非正式研究发现,一个网络安全事件发生后,同一保险项目的保费可能增加200%;如果没有满足严格的限定条件,甚至可能出现拒绝承保的情况.
全面了解和评估网络风险网络风险对于企业中的每一个人至关重要,然而监管风险的最终责任则落在高管们身上,包括首席财务官.
尽管网络安全事件最初可能是技术问题,但通常会超越技术范畴,引发一系列连锁反应,影响到商业价值和公司业绩的核心领域.
网络攻击的潜在影响越来越广泛——包括本文中概括的七类影响,公司对其关注度也越来越高.
有效的网络安全风险管理始于公司高管层的重视,公司高管层可转变他们管理网络风险的方法,提高认识网络风险、应对网络风险、管理绩效的能力,进一步提升企业网络风险管理成熟度水平,企业业务运营终将变得更加安全、警戒和具有弹性.
无形损失的相应价值《透过表象:深入分析网络攻击的商业影响》报告中采用了不同的财务建模技术,以估计网络事件对知识产权、商标以及客户关系和合同等方面造成的损失的价值.
以下概念有助于理解上述财务建模技术:估价及财务量化与特定时间点相关.
鉴于货币时间价值以及各种无法预见且可能对资产的未来价值造成影响的内外部因素,估价旨在估计某项资产在某一具体时间点(这里指发现网络攻击的时间)的价值或经济利益.
本研究采用了收益法下的现金流量折现法这一普遍认可的方法,就资产使用所产生的预期经济效益的现值进行预估.
对比法.
"对比法"是一种比较性的商业估价技术,涉及两种情形下对一项资产的价值进行估计:一种情形下存在特定资产或事件(这里的"事件"指网络攻击的发生);另一种情形下不存在资产或事件(这里指未发生网络攻击).
两种情形下估价的差异反映了与事件相关的价值影响.
依靠假设.
在详细、实际数据缺失的情况下,开展估价或损害/损失分析通常需要做出专业的判断与合理的假设.
本研究在分析假定情形下网络安全事件对特定资产的影响时,使用了典型的行业基准(或开展了相关研究以确定基准),从而得出财务影响分析方面的假设.
部分假设借鉴了德勤在类似情况下开展估价以及损害分析的经验.
中国首席财务官洞察网络攻击导致的七类隐性成本本文摘自德勤全球首席财务官菁英计划的文章"Sevenhiddencostsofacyberattack",由德勤中国全国技术风险领导合伙人薛梓源先生编译整理.
薛梓源全国技术风险领导合伙人德勤中国电话:+861085207315电子邮件:tonxue@deloitte.
com.
cn中国首席财务官菁英计划联络周锦昌全国领导合伙人中国首席财务官菁英计划德勤中国电话:+861085207102电子邮件:wilchou@deloitte.
com.
cn梁乐媛全国项目经理中国首席财务官菁英计划德勤中国电话:+85228521686电子邮件:emleung@deloitte.
com.
hk如欲了解德勤中国首席财务官菁英计划更多详情,欢迎浏览我们的网站:www.
deloitte.
com/cn/zh/chinacfoprogram.
html关于德勤中国首席财务官菁英计划中国首席财务官菁英计划集合了本公司各资深合伙人与经验丰富的专业人员,协助首席财务官有效应对日常工作面对的挑战和需求.
本计划凭借我们的服务能力广度,交付前瞻性观点和新颖洞见,协助首席财务官应对自身角色复习性、驱动企业价值增长以及顺应市场上瞬色万变的战略变革.
关于德勤全球Deloitte("德勤")泛指一家或多家德勤有限公司(即根据英国法律组成的私人担保有限公司,以下称"德勤有限公司"),以及其成员所网络和它们的关联机构.
德勤有限公司与其每一家成员所均为具有独立法律地位的法律实体.
德勤有限公司(又称"德勤全球")并不向客户提供服务.
请参阅www.
deloitte.
com/cn/about中有关德勤有限公司及其成员所更为详细的描述.
德勤为各行各业的上市及非上市客户提供审计、企业管理咨询、财务咨询、风险咨询、税务及相关服务.
德勤通过遍及全球逾150个国家的成员所网络为财富全球500强企业中的80%企业提供专业服务.
凭借其世界一流和高质量的专业服务,协助客户应对极为复杂的商业挑战.
如欲进一步了解全球大约244,400名德勤专业人员如何致力成就不凡,欢迎浏览我们的Facebook、LinkedIn或Twitter专页.
关于德勤中国德勤于1917年在上海设立办事处,德勤品牌由此进入中国.
如今,德勤中国的事务所网络在德勤全球网络的支持下,为中国本地和在华的跨国及高增长企业客户提供全面的审计、企业管理咨询、财务咨询、风险咨询和税务服务.
德勤在中国市场拥有丰富的经验,同时致力为中国会计准则、税务制度及培养本地专业会计师等方面的发展做出重要贡献.
敬请访问www2.
deloitte.
com/cn/zh/social-media,通过德勤中国的社交媒体平台,了解德勤在中国市场成就不凡的更多信息.
本通信中所含内容乃一般性信息,任何德勤有限公司、其成员所或它们的关联机构(统称为"德勤网络")并不因此构成提供任何专业建议或服务.
任何德勤网络内的机构均不对任何方因使用本通信而导致的任何损失承担责任.
2017.
欲了解更多信息,请联系德勤中国.