Skip to main content
觀點分享

因應沒有特效藥的災害

Risk & Analytics
COVID 19 Coronavirus

2020年4月8日

新冠疫情蔓延,升高美國經濟不確定因素,道瓊工業指數創下歷史單日跌點紀錄。同樣具有爆發的感染特性,2017年電腦勒索病毒WannaCry造成全球超過五十億美金的損失。面對突如其來的巨災,在缺乏特效藥的情況之下該如何因應?韋萊韜悅規劃出四大產業風險管理手冊,分享各產業資安風險與理賠案例,歡迎下載參考。

從駭客入侵到傳染病,每日應變與復原任務瞬息萬變,屬於移動的目標(moving targets)。不似專案管理預定的範疇、成本或時間,災後應變與復原面對未知、複雜與多變的動態環境。從這次災害的啟示,我們可以歸納出三點原則:透明、創新與能力。

透明代替隱匿

隱瞞為面對巨災的大忌。在人性上,害怕揭露與自己或組織不利的消息。以新冠病毒為例,隱匿者的事後追蹤、檢測、隔離反而投入更多的社會成本。為了提供社會大眾正確的訊息,我國疫情指揮中心每日召開記者會,並在各大電視台更新衛教公益片。政府主動溝通的措施,離世界衛生組織(WHO)將新型冠狀病毒列為國際公共衛生緊急事件,整整提早一周的時間。

知名鋁業Norsk Hydro面對全球3萬5千台電腦、40個據點遭受病毒攻擊而全面中斷,第一時間採取開誠佈公政策。除了定期的記者會,業者主動製作應變與復原進度的影片,並開放媒體採訪第一線復原人員。該企業透明開放的態度獲得聯合國資安官的肯定,成功的將危機化解為轉機。

創新代替保守

在缺乏因應巨災的經驗值,經營團隊很難避開決策陷阱,採取被動保守的態度。鄰近亞洲國家並未在第一時間主動出擊,任由感染者交叉感染擴大疫情。尤其是病毒傳播者不見得有發燒症狀,而部分痊癒者也會復發。這些都增加追蹤感染者的困難度。在面對口罩缺貨、大規模感染的壓力,口罩實名制、熱影像技術或「免下車」檢測等創新作法紛紛出籠。

Norsk Hydro如何傳遞面對危機的正向能量?面對生產中斷的壓力,他們強調以創新因應所有的困境。資訊人的夢靨就是全球網路中斷、缺乏備援資料,而各國在地的作法不一。丹麥分公司採購新電腦,緊急開發工廠現場管理系統。德國發現他們的「企業營運持續計畫」(BCP),紙本檔案內含一萬六千個零件資料,作為建立備援資料庫的基礎。從人工代替電腦作業,Norsk Hydro員工不斷嘗試各種替代方案(workarounds),這就是面對巨災所需的創新能力。

能力代替壓力

在降低成本的壓力下,風險管理往往成為組織平日管理上的犧牲品。一旦面臨巨災,各國政府每天都在和時間賽跑。以新冠肺炎為例,有些國家或區域預估四到八成居民將遭受感染,暴露當地醫療資源不足的困窘。為了爭取災後佈署的時間,各國政府史無前例的積極投入資源,防止醫療資源的崩潰。透過醫院的超前佈署,從解決資源窘境(負壓隔離病床數量)與標準作業流程(分艙分流計畫)著手,補足第一線醫護人員的能力與資源。

面對迅速爆發的電腦病毒,企業很難有「超前佈署」的時間。為了因應突如其來的巨災挑戰,經營者須將電腦病毒視為商場競爭的敵人,將風險管理能力納入員工職能一環。Norsk Hydro平日即具備營運持續計畫 (BCP) 能力,並在災後一季迅速獲得資安保險理賠。根據2019年上半年財務資料,Norsk Hydro損失約七千五百萬美金,資安保險補償比例約佔兩成七。最後的保險補償將以最終統計的損失數字而定。因應未來缺乏特效藥的災害,宜屏除「三零紀錄」(零社區感染率、零移出率、零死亡率)的迷思,以最壞打算的情境積極佈署風險移轉的資源。

歡迎於本頁右側線上登錄,免費下載2020四大產業(製造業、金融業、醫療業、電商與零售業) 風險管理手冊。

若您希望進一步了解營運持續計畫,或有任何關於資安風險與保險的問題或需求,歡迎與韋萊韜悅資安顧問聯繫:

Contact Us