勒索軟件如今成為增長最快的網(wǎng)絡安全攻擊之一。使這些威脅令人生畏的因素之一是可能造成更多的損失。安全咨詢機構NCC集團在2021年8月發(fā)布的一份調(diào)查報告中指出,該公司的研究情報和融合團隊統(tǒng)計的全球勒索軟件攻擊數(shù)量在今年第一季度和第二季度之間增加了288%,企業(yè)將繼續(xù)面臨以勒索軟件形式出現(xiàn)的數(shù)字勒索浪潮。
眾所周知,勒索軟件對受到攻擊的企業(yè)來說可能代價高昂,其成本和費用往往集中在損失的業(yè)務、支付的勒索贖金、顧問費用等方面,同時也存在一些鮮為人知的財務影響。以下是企業(yè)遭遇勒索軟件攻擊時產(chǎn)生的一些意外成本,包括直接和間接成本。雖然有些成本與安全無關,但首席信息安全官和其他安全領導者需要意識到這些潛在成本,以證明對可以防止勒索軟件的安全措施進行投資的合理性。
1.影響業(yè)務運營
研究機構Forrester公司分析師Allie Mellen表示,在遭受勒索軟件攻擊之后,企業(yè)維持業(yè)務連續(xù)性可能是一筆巨大的開支。她說:“成功的勒索軟件攻擊可能會影響企業(yè)的業(yè)務運營長達數(shù)天、數(shù)周甚至數(shù)月的時間,如果員工無法登錄他們的企業(yè)帳戶或訪問他們的業(yè)務數(shù)據(jù),他們就無法完成支持業(yè)務所需的重要工作。”
Equus Holdings公司前任首席數(shù)據(jù)安全和風險官、現(xiàn)任Rimage公司總裁兼首席執(zhí)行官Christopher Rence表示,勒索軟件恢復成本通常是支付贖金成本的十倍。他說:“業(yè)務的恢復和連續(xù)性是關鍵所在,大多數(shù)企業(yè)不知道他們所有的數(shù)據(jù)在哪里。在恢復過程開始之前,他們不知道它們的數(shù)據(jù)是完全備份還是部分備份的。”
Rence表示,在數(shù)據(jù)得到恢復之后,受到損害的企業(yè)并不覺得自己脫離了危險。他說:“根據(jù)數(shù)據(jù)的復雜性,企業(yè)可能需要長達12個月的時間才能完全恢復。繼續(xù)恢復和持續(xù)盡職調(diào)查所需的技能超出了大多數(shù)企業(yè)IT團隊的技能范圍,這讓他們在未來幾年都處于弱勢。”
2.更高的網(wǎng)絡安全保險費用
如今,許多企業(yè)都購買了針對網(wǎng)絡安全攻擊的保險,考慮到此類入侵可能帶來的財務影響,這當然是有道理的。遭受勒索軟件攻擊的可能后果之一是導致保險費用增加。此外,獲得保險理賠的金額可能沒有預期的那么高。
研究機構IDC公司的企業(yè)安全研究副總裁Pete Lindstrom表示:“保險公司正在迅速采取行動限制他們的支出,而且保費也在增加。”
企業(yè)應該與他們的保險公司開展合作,以了解如何降低成本。Rence說:“在勒索軟件攻擊事件發(fā)生之后,保險公司將會進行全面的盡職調(diào)查,以確定受害的企業(yè)是否遵守了員工的流程、培訓和行動。”
3. 失去客戶信任
盡管難以量化,但在勒索軟件攻擊之后失去客戶信任可能是一個重大問題。Mellen說:“如果發(fā)生勒索軟件攻擊,客戶可能無法訪問客戶支持、銷售或業(yè)務中的任何其他功能,從而導致銷售損失、讓客戶感到沮喪,并認為企業(yè)的業(yè)務根本不可靠。”
即使客戶在短時間內(nèi)失去信任感,也可能造成損害。這種信任的喪失不僅會影響現(xiàn)有客戶,還會影響潛在的新客戶。如果勒索軟件攻擊涉及暴露客戶的個人信息,這可能是一個特別麻煩的問題。信任問題還可以擴展到業(yè)務合作伙伴,例如供應商、服務提供商、顧問等。
4.增加營銷和公關投資
與失去信任相關的是重建信任和企業(yè)聲譽所需的營銷和公共關系工作和投資。
NCC集團在其研究中發(fā)現(xiàn)的一個重要趨勢是,勒索軟件團伙威脅泄露未付費受害者的被盜敏感數(shù)據(jù)以損害企業(yè)聲譽成為了一個普遍問題。
據(jù)該公司稱,這種強制支付的額外壓力被稱為“雙重勒索”,這是勒索軟件團伙越來越多使用的策略。Mellen說,“代表營銷團隊和企業(yè)的其他成員需要額外的費用來恢復他們的聲譽,并向客戶和潛在客戶證明業(yè)務是值得信賴的、可靠的和可用的。”
這些努力可能不僅涉及創(chuàng)建新聞發(fā)布和更新,還涉及廣告、社交媒體活動、媒體采訪和演講活動。所有這些都需要花費一些時間,而這些時間本可以花在更有成效的工作上。
5.合作伙伴的風險評估
Mellen表示,另一項隨著時間推移而增加的額外費用是合作伙伴和客戶評估第三方風險的成本。她說:“每當一家企業(yè)在遭遇網(wǎng)絡攻擊之后,都必須評估和審查與其合作的企業(yè),以及要求他們必須遵守哪些附加標準。隨著這些流程的定義越來越明確,在各個行業(yè)中越來越普遍,為確保符合這些不斷提高的標準,不可避免地會增加業(yè)務成本。”
6. 技能流失
勒索軟件的破壞性攻擊不僅會導致客戶和合作伙伴的流失,還會導致員工流失。員工流失可能涉及流失一些難以替代的技術技能,例如與安全、數(shù)據(jù)分析和其他領域相關的技能。Rence表示,有些員工不想與受到網(wǎng)絡攻擊的企業(yè)有所關聯(lián)。
Rence 指出,獲得和更換這些技能的成本很高,尤其是更加積極地開展招聘工作,而且提供的薪酬可能更高一些。在某些情況下,一些企業(yè)會因為遭受勒索軟件之后被迫裁員而失去一些技能。根據(jù)安全機構Cybereason公司基于2021年4月對全球1263名網(wǎng)絡安全專業(yè)人員對勒索軟件的影響進行的一項調(diào)查,29%的受訪者表示,由于勒索軟件攻擊,他們所在的企業(yè)不得不裁員。
7.社會成本
勒索軟件攻擊的成本可能遠遠超出受害企業(yè)所承擔的成本。Lindstrom 說:“當一家受到勒索軟件攻擊的企業(yè)決定支付贖金時,這里的真正成本是所有人共同承擔的社會成本。幸運的是這種情況并不常見,并且其自身具有一系列重大風險,但獲得贖金對攻擊者來說有利可圖,以至于對其他企業(yè)的攻擊持續(xù)存在。”
Lindstrom 表示,企業(yè)付出的成本取決于那些決定支付贖金的人員。他說:“對于任何一家企業(yè)來說,這可能是降低成本的權宜之計,但它增加了勒索軟件攻擊者的利益,從而增加了其他所有人的風險。鑒于在勒索軟件世界中已經(jīng)開發(fā)出一個包含經(jīng)紀人和保險等選項的生態(tài)系統(tǒng),未來將會出現(xiàn)更多的勒索軟件攻擊事件。”
免責聲明:本文來自騰訊新聞客戶端自媒體,不代表騰訊網(wǎng)的觀點和立場。
文章轉(zhuǎn)載自網(wǎng)易