針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊浪潮日益高漲，并且達(dá)到了前所未有的程度。如今，技術(shù)、法律和監(jiān)管風(fēng)向的轉(zhuǎn)變正使這一對工業(yè)環(huán)境的災(zāi)難越來越難以處理，成為許多首席信息安全官在議程中的首要議題。

　　企業(yè)必須處理的一些難題：

　　•是否支付贖金?

　　•網(wǎng)絡(luò)保險(xiǎn)能否提供足夠的庇護(hù)?

　　•政府的作用是什么?

　　•是否即將出臺新的規(guī)定和處罰措施?

　　•對手如何演變他們的策略?

　　為了理解這一切，需要首先關(guān)注網(wǎng)絡(luò)犯罪分子和他們的技術(shù)。他們有著成熟的商業(yè)模式和仔細(xì)考慮的勒索軟件財(cái)務(wù)計(jì)算。他們已經(jīng)決定是否發(fā)起直接攻擊以實(shí)現(xiàn)利潤最大化，或提供勒索軟件即服務(wù)，并配有幫助臺和其他支持服務(wù)，為他們的收入提供補(bǔ)充，同時(shí)讓技術(shù)水平較低的惡意行為者受益。

　　他們根據(jù)支付能力對受害者和目標(biāo)組織進(jìn)行了調(diào)查。所有這些策略都是協(xié)同制定和執(zhí)行的，以使支付贖金成為阻力最小的途徑——無論是在經(jīng)濟(jì)上和邏輯上。

　　勒索軟件活動的每一個方面都是為了激發(fā)攻擊目標(biāo)的情感反應(yīng)，因此支付贖金比自己承擔(dān)試圖恢復(fù)的成本和延遲更容易。

　　企業(yè)所面臨的困境

　　•現(xiàn)在不是道德絕對化的時(shí)候。關(guān)于企業(yè)是否應(yīng)該支付贖金存在激烈的爭論，有人警告支付贖金將會導(dǎo)致更多的勒索軟件攻擊。雖然這是事實(shí)，但考慮到利害關(guān)系，這根本不實(shí)用或不可行。紙上談兵很容易，但考慮到受害者感受到的壓力，這也許是一種更好的選擇。面對關(guān)于網(wǎng)絡(luò)攻擊以及他們公司的曝光率和未知的命運(yùn)，指責(zé)他們不應(yīng)該支付贖金，就像告訴搶劫的受害者不應(yīng)該交出他們的錢包一樣荒謬。

　　•禁止支付贖金只會增加痛苦。此外，另一個考慮的步驟是執(zhí)法機(jī)構(gòu)應(yīng)該通過將贖金支付定為非法行為來禁止支付贖金。但專家的觀點(diǎn)是，這將使政治和商業(yè)領(lǐng)袖陷入困境，他們需要在觸犯法律或影響公共安全和經(jīng)濟(jì)之間做出選擇。

　　•不要將風(fēng)險(xiǎn)轉(zhuǎn)移誤認(rèn)為是控制。雖然網(wǎng)絡(luò)保險(xiǎn)是一種有效的風(fēng)險(xiǎn)轉(zhuǎn)移機(jī)制，但不要將其與制定的計(jì)劃混淆。它也不能替代良好的治理和風(fēng)險(xiǎn)管理。事實(shí)上，網(wǎng)絡(luò)犯罪分子正在積極針對擁有網(wǎng)絡(luò)保險(xiǎn)的企業(yè)進(jìn)行攻擊，因?yàn)樗麄冎肋@些受害者更有可能支付贖金。由于網(wǎng)絡(luò)保險(xiǎn)公司的成本不斷上升，而且可用于創(chuàng)建精算表的數(shù)據(jù)有限，其保費(fèi)和免賠額開始上漲。保險(xiǎn)公司表示，如果企業(yè)沒有實(shí)施適當(dāng)?shù)目刂坪椭卫恚麄儗⒉粫斜＠账鬈浖簟Ｅc任何類型的風(fēng)險(xiǎn)緩解策略一樣，保險(xiǎn)只是其中的一個組成部分。

　　企業(yè)應(yīng)該如何應(yīng)對

　　•從無知到疏忽將造成緊迫感。企業(yè)的董事會和最高管理層了解并考慮規(guī)避各種業(yè)務(wù)風(fēng)險(xiǎn)，包括市場風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)和流動性風(fēng)險(xiǎn)，但許多人并不了解工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)。企業(yè)董事會都有責(zé)任向最高管理層提出問題，對他們的風(fēng)險(xiǎn)承受能力提出自己的觀點(diǎn)，制定良好的彈性計(jì)劃，并了解其運(yùn)營環(huán)境中網(wǎng)絡(luò)風(fēng)險(xiǎn)的當(dāng)前狀態(tài)。如果是首席信息安全官，提高對這種新風(fēng)險(xiǎn)類別的認(rèn)識將創(chuàng)建一個平臺，企業(yè)董事會不能忽視該平臺。鑒于通過數(shù)字化轉(zhuǎn)型獲得的所有優(yōu)勢，工業(yè)企業(yè)內(nèi)部的網(wǎng)絡(luò)風(fēng)險(xiǎn)不是“如果”而是“何時(shí)”的問題。一旦存在風(fēng)險(xiǎn)，就容易陷入困境。現(xiàn)在是開始加強(qiáng)工業(yè)網(wǎng)絡(luò)安全的時(shí)候了。

　　•命運(yùn)眷顧有準(zhǔn)備的人。雖然面對網(wǎng)絡(luò)攻擊有時(shí)可能無能為力，但可以做很多事情來降低風(fēng)險(xiǎn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院開發(fā)了網(wǎng)絡(luò)安全框架，該框架有助于提供一系列步驟，幫助企業(yè)如何在一段時(shí)間內(nèi)積極地思考和采取行動保護(hù)其基礎(chǔ)設(shè)施。通過立即實(shí)施推薦的控制措施并建立堅(jiān)實(shí)的基礎(chǔ)，企業(yè)可以減少事后反應(yīng)的擔(dān)憂。例如，了解運(yùn)營環(huán)境、進(jìn)行桌面練習(xí)以及與事件響應(yīng)和律師事務(wù)所建立正式關(guān)系，并為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。

　　•改變財(cái)務(wù)計(jì)算。勒索軟件攻擊的財(cái)務(wù)模型歷來傾向于付費(fèi)。巴爾的摩市就是一個廣為宣傳的例子，這次網(wǎng)絡(luò)攻擊使該市損失收入以及恢復(fù)系統(tǒng)的直接成本超過1800萬美元，但在遭遇網(wǎng)絡(luò)攻擊當(dāng)天，其贖金僅為76000美元的比特幣。因此，美國眾議院和參議院的國會議員都提出立法以推動強(qiáng)制性事件報(bào)告，以及制定激勵和抑制機(jī)制來改變財(cái)務(wù)和風(fēng)險(xiǎn)方式，以支持更好的控制和風(fēng)險(xiǎn)治理。

　　只要有收益，針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊就有可能繼續(xù)下去。為了降低風(fēng)險(xiǎn)，最有效的一條途徑是探索可用的技術(shù)、法律和監(jiān)管手段來支持和鼓勵降低風(fēng)險(xiǎn)的行為。這需要全社會的共同努力，并提出合乎道德且可行的方法，其中包括主動技術(shù)和實(shí)踐、緩解措施和響應(yīng)的組合。深入了解正在發(fā)揮作用的多種措施，可以朝著正確的方向前進(jìn)。