企業數位韌性：董事會如何治理網路安全與營運持續風險

2024 年 7 月，CrowdStrike 軟體更新錯誤導致全球 850 萬台 Windows 電腦當機，航班停飛、醫院系統癱瘓、金融交易中斷，損失估計超過 50 億美元。這起事件不是駭客攻擊，而是一次軟體供應鏈的單點故障——卻暴露了企業數位韌性（digital resilience）的系統性脆弱。在數位化程度越來越深的今天，網路安全不再只是 IT 部門的技術議題，而是董事會必須親自治理的策略風險。

一、網路安全：從技術問題到治理議題

根據 IBM 的年度報告，2024 年全球平均每次資料外洩事件的成本達到 488 萬美元，較五年前增長 12%。更重要的是，從事件發生到被發現的平均時間仍高達 194 天——這意味著企業可能在不知情的情況下被入侵近半年。^[1]

這些數據促使監管機構將網路安全從技術問題提升為治理議題。美國 SEC 在 2023 年通過的網路安全揭露規則，要求上市公司在發生重大網路安全事件後四個工作日內揭露，並在年報中描述董事會對網路安全風險的監督機制。歐盟的《數位營運韌性法案》（DORA）更進一步，要求金融機構的董事會直接負責 ICT 風險管理策略的核准與監督。^[2]

二、營運持續：超越備份的系統思維

傳統的營運持續計畫（BCP）聚焦於「備份與復原」——定期備份數據、建立異地備援中心、制定災後復原流程。但 CrowdStrike 事件證明，在高度互聯的數位生態系中，營運中斷的來源可能不是自身系統的故障，而是供應鏈上某個環節的失效。

數位韌性需要一種更廣泛的系統思維：不僅保護自身系統，還要評估關鍵第三方供應商的風險；不僅準備「復原」，還要具備在降級模式下持續運作的能力；不僅防禦已知威脅，還要建立對未知威脅的偵測與應變機制。^[3]

三、董事會的數位韌性治理框架

1. 將網路安全納入風險管理委員會常態議程——至少每季聽取 CISO（資訊安全長）的風險報告，包括威脅態勢、事件統計、漏洞修補率與第三方風險評估。
2. 定義「數位韌性」的量化指標——如平均偵測時間（MTTD）、平均復原時間（MTTR）、關鍵系統可用率（SLA）與演練合格率。
3. 要求年度網路安全壓力測試——模擬勒索軟體攻擊、供應鏈中斷與內部威脅等情境，檢驗應變計畫的實際有效性。
4. 審查網路安全保險的覆蓋範圍——確保保單涵蓋供應鏈中斷、營業中斷與法規罰款等新型風險。
5. 建立「資安文化」的治理機制——從高階主管的資安意識培訓到全員的社交工程防禦演練，文化是技術的最後防線。

四、從防禦到韌性的思維轉換

傳統的網路安全思維是「防禦」——築高牆、挖深溝，阻止攻擊者進入。但在零信任（Zero Trust）架構的時代，假設是「已經被入侵」，重點從「如何阻擋」轉向「如何在被攻擊的情況下持續運作、快速恢復」。這就是「韌性」的真正含義。

對董事會而言，最重要的認知轉換是：網路安全投資不是成本，而是企業價值的保護。一次重大資安事件可能導致股價下跌 5-10%、客戶流失、監管罰款與訴訟成本。相比之下，建立數位韌性的投資是最高 ROI 的治理決策之一。^[4]