針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊浪潮日益高漲,并且達(dá)到了前所未有的程度。如今,技術(shù)、法律和監(jiān)管風(fēng)向的轉(zhuǎn)變正使這一對工業(yè)環(huán)境的災(zāi)難越來越難以處理,成為許多首席信息安全官在議程中的首要議題。
企業(yè)必須處理的一些難題:
•是否支付贖金?
•網(wǎng)絡(luò)保險(xiǎn)能否提供足夠的庇護(hù)?
•政府的作用是什么?
•是否即將出臺新的規(guī)定和處罰措施?
•對手如何演變他們的策略?
為了理解這一切,需要首先關(guān)注網(wǎng)絡(luò)犯罪分子和他們的技術(shù)。他們有著成熟的商業(yè)模式和仔細(xì)考慮的勒索軟件財(cái)務(wù)計(jì)算。他們已經(jīng)決定是否發(fā)起直接攻擊以實(shí)現(xiàn)利潤最大化,或提供勒索軟件即服務(wù),并配有幫助臺和其他支持服務(wù),為他們的收入提供補(bǔ)充,同時讓技術(shù)水平較低的惡意行為者受益。
他們根據(jù)支付能力對受害者和目標(biāo)組織進(jìn)行了調(diào)查。所有這些策略都是協(xié)同制定和執(zhí)行的,以使支付贖金成為阻力最小的途徑——無論是在經(jīng)濟(jì)上和邏輯上。
勒索軟件活動的每一個方面都是為了激發(fā)攻擊目標(biāo)的情感反應(yīng),因此支付贖金比自己承擔(dān)試圖恢復(fù)的成本和延遲更容易。
企業(yè)所面臨的困境
•現(xiàn)在不是道德絕對化的時候。關(guān)于企業(yè)是否應(yīng)該支付贖金存在激烈的爭論,有人警告支付贖金將會導(dǎo)致更多的勒索軟件攻擊。雖然這是事實(shí),但考慮到利害關(guān)系,這根本不實(shí)用或不可行。紙上談兵很容易,但考慮到受害者感受到的壓力,這也許是一種更好的選擇。面對關(guān)于網(wǎng)絡(luò)攻擊以及他們公司的曝光率和未知的命運(yùn),指責(zé)他們不應(yīng)該支付贖金,就像告訴搶劫的受害者不應(yīng)該交出他們的錢包一樣荒謬。
•禁止支付贖金只會增加痛苦。此外,另一個考慮的步驟是執(zhí)法機(jī)構(gòu)應(yīng)該通過將贖金支付定為非法行為來禁止支付贖金。但專家的觀點(diǎn)是,這將使政治和商業(yè)領(lǐng)袖陷入困境,他們需要在觸犯法律或影響公共安全和經(jīng)濟(jì)之間做出選擇。
•不要將風(fēng)險(xiǎn)轉(zhuǎn)移誤認(rèn)為是控制。雖然網(wǎng)絡(luò)保險(xiǎn)是一種有效的風(fēng)險(xiǎn)轉(zhuǎn)移機(jī)制,但不要將其與制定的計(jì)劃混淆。它也不能替代良好的治理和風(fēng)險(xiǎn)管理。事實(shí)上,網(wǎng)絡(luò)犯罪分子正在積極針對擁有網(wǎng)絡(luò)保險(xiǎn)的企業(yè)進(jìn)行攻擊,因?yàn)樗麄冎肋@些受害者更有可能支付贖金。由于網(wǎng)絡(luò)保險(xiǎn)公司的成本不斷上升,而且可用于創(chuàng)建精算表的數(shù)據(jù)有限,其保費(fèi)和免賠額開始上漲。保險(xiǎn)公司表示,如果企業(yè)沒有實(shí)施適當(dāng)?shù)目刂坪椭卫恚麄儗⒉粫斜@账鬈浖簟Ec任何類型的風(fēng)險(xiǎn)緩解策略一樣,保險(xiǎn)只是其中的一個組成部分。
企業(yè)應(yīng)該如何應(yīng)對
•從無知到疏忽將造成緊迫感。企業(yè)的董事會和最高管理層了解并考慮規(guī)避各種業(yè)務(wù)風(fēng)險(xiǎn),包括市場風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)和流動性風(fēng)險(xiǎn),但許多人并不了解工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)。企業(yè)董事會都有責(zé)任向最高管理層提出問題,對他們的風(fēng)險(xiǎn)承受能力提出自己的觀點(diǎn),制定良好的彈性計(jì)劃,并了解其運(yùn)營環(huán)境中網(wǎng)絡(luò)風(fēng)險(xiǎn)的當(dāng)前狀態(tài)。如果是首席信息安全官,提高對這種新風(fēng)險(xiǎn)類別的認(rèn)識將創(chuàng)建一個平臺,企業(yè)董事會不能忽視該平臺。鑒于通過數(shù)字化轉(zhuǎn)型獲得的所有優(yōu)勢,工業(yè)企業(yè)內(nèi)部的網(wǎng)絡(luò)風(fēng)險(xiǎn)不是“如果”而是“何時”的問題。一旦存在風(fēng)險(xiǎn),就容易陷入困境。現(xiàn)在是開始加強(qiáng)工業(yè)網(wǎng)絡(luò)安全的時候了。
•命運(yùn)眷顧有準(zhǔn)備的人。雖然面對網(wǎng)絡(luò)攻擊有時可能無能為力,但可以做很多事情來降低風(fēng)險(xiǎn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院開發(fā)了網(wǎng)絡(luò)安全框架,該框架有助于提供一系列步驟,幫助企業(yè)如何在一段時間內(nèi)積極地思考和采取行動保護(hù)其基礎(chǔ)設(shè)施。通過立即實(shí)施推薦的控制措施并建立堅(jiān)實(shí)的基礎(chǔ),企業(yè)可以減少事后反應(yīng)的擔(dān)憂。例如,了解運(yùn)營環(huán)境、進(jìn)行桌面練習(xí)以及與事件響應(yīng)和律師事務(wù)所建立正式關(guān)系,并為應(yīng)對網(wǎng)絡(luò)攻擊做好準(zhǔn)備。
•改變財(cái)務(wù)計(jì)算。勒索軟件攻擊的財(cái)務(wù)模型歷來傾向于付費(fèi)。巴爾的摩市就是一個廣為宣傳的例子,這次網(wǎng)絡(luò)攻擊使該市損失收入以及恢復(fù)系統(tǒng)的直接成本超過1800萬美元,但在遭遇網(wǎng)絡(luò)攻擊當(dāng)天,其贖金僅為76000美元的比特幣。因此,美國眾議院和參議院的國會議員都提出立法以推動強(qiáng)制性事件報(bào)告,以及制定激勵和抑制機(jī)制來改變財(cái)務(wù)和風(fēng)險(xiǎn)方式,以支持更好的控制和風(fēng)險(xiǎn)治理。
只要有收益,針對關(guān)鍵基礎(chǔ)設(shè)施部門的勒索軟件攻擊就有可能繼續(xù)下去。為了降低風(fēng)險(xiǎn),最有效的一條途徑是探索可用的技術(shù)、法律和監(jiān)管手段來支持和鼓勵降低風(fēng)險(xiǎn)的行為。這需要全社會的共同努力,并提出合乎道德且可行的方法,其中包括主動技術(shù)和實(shí)踐、緩解措施和響應(yīng)的組合。深入了解正在發(fā)揮作用的多種措施,可以朝著正確的方向前進(jìn)。
