【數碼金魚缸】據統計,去年每八分鐘,就有一宗勒索軟件得逞的個案,情況都幾觸目驚心,若稍有留意這類新聞,都會發覺幾乎無日無之。即使多大的公司,稍為百密一疏,都會顯得無助,而且連累業績兼商譽,更不利股價。有學術研究發現,網絡安全風險高的股份,需要付出較高回報才能吸引投資者。今次試以程式分析港股對網絡安全風險的敏感度。
有關勒索軟件(Ransomware)的事故可謂年中無休,話猶未了,麥當勞及電腦遊戲商Electronic Arts剛剛中招,之前則有全球最大肉類加工商之一的巴西JBS失守,其追蹤及分類牲口的系統因而癱瘓,被迫關閉美加及澳洲大部份加工廠三天,嚴重影響美國當地食品供應,更要支付近億元贖金解窘。上月則有運營美國東岸石油管道的Colonial Pipeline,廣泛地區出現供應短缺,公司急急向黑客支付440萬美元以減少損害。同月東芝的歐洲業務被攻擊,740G數據被盜取。
隨着疫症肆虐,不少員工在家工作,為黑客帶來更多乘虛而入的機會,去年勒索軟件攻擊上升六成。超過四分一中招機構選擇投降,付贖金息事寧人,擔心事件被張揚會損害商譽,及帶來法律後果。所以現時黑客都採用所謂雙重敲詐的策略,即一邊把敏感資料加密封鎖,癱瘓系統,一邊威脅公開盜取的機密或私隱資料。
由於風險與回報遠好過揸槍去搶,勒索軟件已變成數以百億美元產業,更發展至勒索即服務(ransomware-as-a-service),即黑客集團出租勒索軟件套裝予其他犯罪份子,事成後分成。有指現時活躍此道的20多個組織,去年合共得手180億美元,平均每宗成功敲詐15萬美元。
最近幾位歐美金融學者聯合發表研究,指網絡安全風險已成為投資者衡量股票的一個因素,易出現網絡隱患或受攻擊的公司,其風險溢價亦會較高,意味需要較高回報來吸引投資者,其合成一個以高網絡風險為本的投資組合,投資高風險股、沽空低風險股,回報達到8.3%。該研究為數千家美國上市公司編製的網絡風險指數,主要從公司的風險披露中,挖掘提到網絡風險的篇幅、字眼有多負面,並與一些曾中伏公司的各項指標作比較,相似度越高的,風險指數亦會較高。
我嘗試探討港股有否類似特性,從港交所的通告中找來五家近幾年出現資料被黑客外洩的股份,當中以2018年國泰航空(293)外洩940萬客戶資料最矚目,公司要多番解釋,亦要事後檢討,而偉易達(303)2015年亦遭入侵,被盜全球500萬客戶資料,事件導致其網上平台關閉數周,拖累該年度收入及盈利。
我將這五家公司在公佈有關事故後五個交易日的股價並列,發現事件確是明顯的利淡訊號,其中國泰幾日下來跌超過7%,堡獅龍(592)去年中的事故後更大跌兩成,唯一異類是香港寬頻(1310),股價幾日內不跌反升近17%。即使一個月後,有三隻仍然低於事故前的價位。
未知是否消息事先已走漏,有股份在公佈前已不斷調整,公佈後的股價表現或未反映事件的全部影響。事關不少公司其實未有在事發後即時公佈,最離譜的國泰,出事後逾半年才出通告,而偉易達及堡獅龍亦在事發近兩周才作出披露,所以部份影響可能在公佈前已開始反映在股價上。
上述的研究還發現,網絡安全風險有累街坊的元素,即一旦出現事故,受影響的不單止苦主的股價,還會令其他被視為高危者的股價受挫。再者,這種風險的觀感並非短期性,甚至可用以預測該股未來12個月,相對其他股份的走勢。
我再以國泰為例,在公佈入侵事故後,其股價即使在一個月內收復不少失地,但仍明顯跑輸幾家航空股。
偉易達亦遭遇同一命運,相較兩隻規模相若的股份瑞聲(2018)及聯想(992)一度跑輸近一成,一個月後有關幅度才收窄。
至於能否把港股的網絡安全風險作比較,現時不少具規模上市公司的年報,均有特定篇幅披露如何防範這風險,尤其是公用股、金融股等敏感行業,一些面向消費者的公司如大酒店(045)、金沙(1928)等,亦有列出相關政策,但部份說法仍流於籠統及簡要,未有提到具體措施,如有否聘用專家顧問,或購買這方面的保險,要利用這些有限披露來評價公司的網絡安全風險殊不容易,不像美國的上市企業,會因為監管要求,及預防他日被訴訟的可能,而會用字較精確,亦不敢低估風險。
查實營運數碼化幾乎已是大趨勢,沒有企業可以迴避資訊安全風險的課題,試想想一旦網上銀行服務的客戶賬戶及密碼外洩,對銀行來說是多大的震撼彈,又或港鐵的客運系統被癱瘓,對民生有多大影響,已非單單引發關公災難的程度。何況肇事原因可能只是一個萬年不改的密碼、一個大意的鏈結點擊,便可以萬劫不復,故此未來這方面的投資已成必需,而且要把安全意識灌注到企業文化之中,這方面的工作好壞,勢將影響公司股價。
尼奧
作者電郵:[email protected]
手機用戶請按此放大圖表