什么是数字化风险评估——以及家族办公室为何需要它

如果有人想找到你的家人，需要多长时间？

这并非一个修辞问题。这是我们在开始进行数字风险评估时首先提出的问题，而答案几乎总是比客户预期的要简短。 旧公司档案中留存的家庭住址。带地理标签的度假照片里可见的儿童校服。行业刊物上报道的房产交易。员工社交媒体帖子中透露的某天某地一家人的行踪。这些细节单独看似乎并无危险。但它们组合在一起，便构成了一张地图——而绘制这张地图的人，鲜少怀有善意。

什么是数字曝光评估

数字风险评估是一项系统性调查，旨在探究外界能够通过哪些信息了解你、你的家人以及你的办公室——所依据的仅是那些已公开的信息，或是那些在多数人从未留意过的角落悄然流传的信息。

简而言之，我们要预先采取行动，做那些有动机的攻击者可能会做的事。这意味着需要审查：

• 开放的互联网。新闻报道、公司注册信息、法院记录、房产记录、会议出席情况，以及那些永远不会被删除的旧内容的“长尾”。

• 社交媒体——无论是你自己的，还是你身边所有人的。雇主通常都很谨慎，但他们的成年子女、家政人员、司机和私人助理却往往并非如此。一个家庭面临的风险，取决于其生活圈内所有人的行为总和。

• 数据泄露已成常态。个人隐私信息——电话号码、电子邮箱地址、过往住址——不断被买卖和泄露。我们致力于查明这些信息流向何处，以及它们的来源。

• 西方互联网之外的平台。对于在亚洲拥有商业利益、亲属或公开形象的家庭而言，相当一部分相关信息都存在于微信、小红书、抖音和微博等中文平台上。这些平台对标准的西方监测工具而言几乎是“隐形的”，但恰恰是讨论该地区知名人士的聚集地。

最终产出的并非一堆截图，而是一份条理清晰、按优先级排序的报告：这里列出了已暴露的风险，这里说明了攻击者可能如何利用这些漏洞，这里则指明了应优先修复的内容。在 Aster Privacy，我们用三个词来概括这一过程：定位、评估、缓解。

为什么偏偏是家族办公室？

家族办公室正处于一个尴尬的境地：它们管理着机构级别的财富，却仅具备小型企业的安全防护水平。犯罪分子早已察觉到了这一点。德勤的一项全球调研发现，43%的家族办公室在过去12至24个月内遭遇过网络攻击，其中四分之一遭受了三次或更多次攻击——而在管理资产超过10亿美元的家族办公室中，这一比例升至62%。 AlTi Tiedemann Global与Campden Wealth的另一项调查显示，目前约70%的家族办公室将网络安全列为首要运营风险。

以下是最关键的细节：网络钓鱼无疑是最常见的攻击形式，93%的受害者都曾遭遇此类攻击。网络钓鱼并非技术问题，而是信息问题。一封极具说服力的钓鱼邮件——或者一个冒充校长的深度伪造语音电话——之所以能得逞，是因为攻击者早已掌握了姓名、职务、人际关系、出行规律和写作风格等信息。而这些信息全都来自泄露的数据。防火墙和杀毒软件对此束手无策。

而且风险不仅限于财务方面。信息泄露会助长骚扰、敲诈勒索、媒体攻击、活动人士的针对性行动，最严重的情况下甚至会对家属的人身安全构成威胁。这种模式一贯如此：事件可能发生在网络上或现实中，但幕后筹备往往早在数月前就在公开数据中悄然进行。

您实际能从中获得什么

一份优质的评估报告将为家族办公室带来三项成果。首先，一份真实、基于证据的风险暴露全景图——这并非千篇一律的核对清单，而是针对贵家族、员工及组织架构的具体发现。其次，一份按优先级排序的整改计划：移除数据中介、提交内容下架请求、修正隐私设置、对员工进行指导，以及调整办公室未来处理信息的方式。 第三，建立基线——因为风险状况并非一成不变，今天看似安全的情况，明天可能再次浮现。

“无法衡量，便无法保护。”对于大多数家族办公室而言，进行数字化风险评估是他们能采取的最能厘清状况的举措：它能将那种模糊的不安感转化为一份具体的问题清单，这些问题按风险等级排序，且每项问题都配有相应的解决方案。

如果您想了解您家族谱系图目前的样貌，我们最好在别人代您绘制之前先聊一聊。

Aster Privacy 是一家总部位于新加坡的数字风险与防护情报公司，为亚洲及全球各地的家族办公室、企业主和备受瞩目的高管提供服务。联系方式： contact@asterprivacy.com

来源：德勤私人财富（Deloitte Private），《2024年家族办公室网络安全报告》（《家族办公室洞察系列——全球版》）；AlTi Tiedemann Global & Campden Wealth，2025年家族办公室网络安全调查。