针对关键基础设施部门的勒索软件攻击浪潮日益高涨,并且达到了前所未有的程度。如今,技术、法律和监管风向的转变正使这一对工业环境的灾难越来越难以处理,成为许多首席信息安全官在议程中的首要议题。
企业必须处理的一些难题:
- 是否支付赎金?
- 网络保险能否提供足够的庇护?
- 政府的作用是什么?
- 是否即将出台新的规定和处罚措施?
- 对手如何演变他们的策略?
为了理解这一切,需要首先关注网络犯罪分子和他们的技术。他们有着成熟的商业模式和仔细考虑的勒索软件财务计算。他们已经决定是否发起直接攻击以实现利润最大化,或提供勒索软件即服务,并配有帮助台和其他支持服务,为他们的收入提供补充,同时让技术水平较低的恶意行为者受益。
他们根据支付能力对受害者和目标组织进行了调查。所有这些策略都是协同制定和执行的,以使支付赎金成为阻力最小的途径——无论是在经济上和逻辑上。
勒索软件活动的每一个方面都是为了激发攻击目标的情感反应,因此支付赎金比自己承担试图恢复的成本和延迟更容易。
企业所面临的困境
- 现在不是道德绝对化的时候。关于企业是否应该支付赎金存在激烈的争论,有人警告支付赎金将会导致更多的勒索软件攻击。虽然这是事实,但考虑到利害关系,这根本不实用或不可行。纸上谈兵很容易,但考虑到受害者感受到的压力,这也许是一种更好的选择。面对关于网络攻击以及他们公司的曝光率和未知的命运,指责他们不应该支付赎金,就像告诉抢劫的受害者不应该交出他们的钱包一样荒谬。
- 禁止支付赎金只会增加痛苦。此外,另一个考虑的步骤是执法机构应该通过将赎金支付定为非法行为来禁止支付赎金。但专家的观点是,这将使政治和商业领袖陷入困境,他们需要在触犯法律或影响公共安全和经济之间做出选择。
- 不要将风险转移误认为是控制。虽然网络保险是一种有效的风险转移机制,但不要将其与制定的计划混淆。它也不能替代良好的治理和风险管理。事实上,网络犯罪分子正在积极针对拥有网络保险的企业进行攻击,因为他们知道这些受害者更有可能支付赎金。由于网络保险公司的成本不断上升,而且可用于创建精算表的数据有限,其保费和免赔额开始上涨。保险公司表示,如果企业没有实施适当的控制和治理,他们将不会承保勒索软件攻击。与任何类型的风险缓解策略一样,保险只是其中的一个组成部分。
企业应该如何应对
- 从无知到疏忽将造成紧迫感。企业的董事会和最高管理层了解并考虑规避各种业务风险,包括市场风险、供应链风险和流动性风险,但许多人并不了解工业网络风险。企业董事会都有责任向最高管理层提出问题,对他们的风险承受能力提出自己的观点,制定良好的弹性计划,并了解其运营环境中网络风险的当前状态。如果是首席信息安全官,提高对这种新风险类别的认识将创建一个平台,企业董事会不能忽视该平台。鉴于通过数字化转型获得的所有优势,工业企业内部的网络风险不是“如果”而是“何时”的问题。一旦存在风险,就容易陷入困境。现在是开始加强工业网络安全的时候了。
- 命运眷顾有准备的人。虽然面对网络攻击有时可能无能为力,但可以做很多事情来降低风险。美国国家标准与技术研究院开发了网络安全框架,该框架有助于提供一系列步骤,帮助企业如何在一段时间内积极地思考和采取行动保护其基础设施。通过立即实施推荐的控制措施并建立坚实的基础,企业可以减少事后反应的担忧。例如,了解运营环境、进行桌面练习以及与事件响应和律师事务所建立正式关系,并为应对网络攻击做好准备。
- 改变财务计算。勒索软件攻击的财务模型历来倾向于付费。巴尔的摩市就是一个广为宣传的例子,这次网络攻击使该市损失收入以及恢复系统的直接成本超过1800万美元,但在遭遇网络攻击当天,其赎金仅为76000美元的比特币。因此,美国众议院和参议院的国会议员都提出立法以推动强制性事件报告,以及制定激励和抑制机制来改变财务和风险方式,以支持更好的控制和风险治理。
只要有收益,针对关键基础设施部门的勒索软件攻击就有可能继续下去。为了降低风险,最有效的一条途径是探索可用的技术、法律和监管手段来支持和鼓励降低风险的行为。这需要全社会的共同努力,并提出合乎道德且可行的方法,其中包括主动技术和实践、缓解措施和响应的组合。深入了解正在发挥作用的多种措施,可以朝着正确的方向前进。