一项最新调查显示，69%的 CISO 曾被雇主要求对安全事件保持沉默，而这一比例在两年前还是 42%。这意味着，信息安全负责人（CISO）正承受着越来越大的压力：企业往往将声誉保护置于合规义务之上。

Bitdefender 的技术解决方案总监 Martin Zugec 表示，攻击者手法的变化可能直接影响了披露策略的转变。过去，传统勒索软件会加密数据，迫使受害方公开披露事件。但如今，更多攻击转向窃取数据而非制造破坏，事件对公众和客户的可见性降低。

即使使用加密，攻击范围往往也局限在后台基础设施。例如，RedCurl 黑客组织最近的一次攻击，专门针对虚拟化管理程序（hypervisors），而刻意避开可能影响终端用户的系统。这种做法降低了公众舆论压力，使企业更倾向于私下处理，进一步加剧了 CISO 在披露上的两难境地。

CISO 不仅面临企业内部的“沉默”要求，还要应对 GDPR、DORA、NIS2 等法规带来的披露义务。这些法规要求企业在规定时间内公开网络安全事件，否则将面临罚款或其他处罚。

然而，现实中许多 CISO 被迫淡化或忽视合规要求。前CISO、现任 CyXcel 公司区域总监的 Bryan Marlatt 就透露，他曾因拒绝掩盖事实而辞职。他表示，前雇主要求他不要将某次业务邮件泄露事件告知审计委员会，甚至要求他在提交给美国证券交易委员会的10-K 文件中“夸大”安全能力。面对 CIO 即将退休、不想“捅娄子”的理由，他选择离开：“对我而言，诚信比任何金钱更重要。”

《CSO》还采访了两名前 CISO，他们也都曾被要求“沉默”，并签署了保密协议。其中一人透露，在一家欧洲的财富全球 500 强企业工作时，几乎每次股东大会或财报发布前，CISO 都被要求先通过 CIO，由其领导团队（尤其是 CFO）决定是否披露。最终结果常常是：事件被否认，不算网络攻击。

他举了几个案例：

• 汽车研发数据外泄：500GB敏感数据被内部人员盗走并卖到暗网，但被定性为“数据被盗，不算黑客攻击”，未披露。

• 超级管理员权限滥用：一名高级安全人员利用特权恐吓下属并窥探董事会成员账户，被归为“配置错误”。

• 金融子公司黑客事件：约5000万欧元被黑客通过第三方漏洞转走，但因“不属于当地 EU 法律管辖”，未披露。

• 管理员凭证被盗：安全团队建议重置 IAM，但因“没有造成直接损害”，被忽略。

• 贿赂丑闻：某国际供应商向全球集团 CISO 及团队行贿，最终以“私下和解”处理，团队被要求保持沉默。

另一名前 CISO 则透露，他们发现某第三方网站开发商泄露了客户邮箱和姓名。尽管涉及客户隐私数据，企业却决定不披露，以避免影响与该供应商的合作关系。

这些案例揭示了 CISO 的困境：他们既要对企业合规负责，又承受高层“保持沉默”的压力。很多人担心，揭露事实会毁掉职业生涯，因为缺乏真正的举报人保护机制。

一位受访者坦言：“在绩效考核时，我被告知如果想晋升，就要更多迎合公司，而不是坚持我的团队和标准。”最终，他选择离开。

Marlatt 也指出，如今外部调查、取证以及保险索赔变得普遍，使企业越来越难以掩盖严重的安全事件。但许多高管仍试图淡化影响，以保护企业声誉。

CM Law 律所合伙人 Caroline Morgan 强调：“内部保持沉默的压力确实存在，但法律上企业并不能通过隐瞒来逃避，只会让问题更糟。”  她指出，隐瞒事件可能导致：

• 监管处罚：被认定为持续违规，罚款更高。

• 品牌损害：客户信任下降，甚至面临诉讼。

• 个人风险：CISO 或高管可能遭遇解雇、罚款，甚至刑事指控。

她举例称，Uber 前首席安全官 Joe Sullivan 就因掩盖 2016 年的数据泄露被判有罪，最终获缓刑。

Morgan 建议企业提前建立健全的事件响应机制，确保：

• 透明的沟通框架

• 针对伦理和合规的培训

• 将商业部门与事件披露的决策权隔离

她强调：“及时报告是数据保护法律的核心。企业应将内部的沉默压力视为一种威胁，并在危机发生前建立缓解机制。”

总结：CISO 正处于一个危险的夹缝中：一方面，他们被赋予了保护数据与合规的法律责任；另一方面，企业内部却越来越倾向于“以沉默换稳定”。长期来看，这不仅损害客户和合作伙伴的利益，也可能让 CISO 自身面临职业与法律的双重风险。