數位安全宣告中的「網路漂綠」現象引發警訊

根據莫納什大學最新發布的研究報告，揭露了越來越多企業利用「網路漂綠」手段，誤導大眾對其資料隱私保護的認知，並提出建立真正網路安全文化的建議措施。

所謂「網路漂綠」，是指企業誇大或虛報其網路安全資質，營造出比實際情況更安全的假象。這種行為包括使用「最先進的安全技術」等模糊用語卻未提供具體細節、採取與隱私政策相悖的做法、缺乏獨立驗證的網路安全措施、過度強調其網路安全團隊的能力，以及未能公開討論所遭遇資料外洩事件的原因和影響。

該報告的主要作者、莫納什大學資訊科技學院的網路安全專家奈傑爾·菲爾教授指出，網路漂綠會造成虛假的安全感，對消費者和企業都可能帶來嚴重後果。

這份發表於《金融機構風險管理期刊》的報告，列舉了企業可採取的具體步驟，以確保真正落實堅實的網路安全措施。這些步驟包括：透過定期獨立審計和透明遵守行業標準來支援其安全宣告、培訓員工理解網路安全的複雜性，以及向客戶提供有關其網路安全實踐的準確資訊。

菲爾教授表示：「過去幾年，我們在澳洲目睹了多起重大資料外洩事件，包括影響Optus、Medibank和Latitude金融服務公司的事件。在每起案例中，這些企業儘管聲稱擁有堅實的網路安全措施，卻在遭遇資料外洩後面臨重大批評和法律訴訟。」

「這種網路漂綠行為削弱了對企業的信任，正如我們所見，尤其是在發生資料外洩時，可能導致嚴重的財務、聲譽和法律後果。」

報告還強調了有效風險管理的重要性，以及監管機構強力執法以遏制網路漂綠的必要性。

菲爾教授建議：「企業應該改善其風險管理政策及後續的管控實施。網路保險政策應要求企業達到特定安全標準，並報告其網路安全實踐的準確資訊。」

「這些努力應該配合一個正常運作的法律執法框架，例如澳洲《2018年關鍵基礎設施安全法》下的處罰措施，以阻止企業進行網路漂綠。」

「真正的網路安全承諾，而非誤導性宣告，對於保護敏感資料和維持數位時代的信任至關重要。」

未來的研究需要探討公司董事會是否就網路安全訊息傳遞及相關行動提出質詢。