遭遇勒索軟件而產生的七大意外損失
勒索軟件如今成為增長最快的網絡安全攻擊之一。使這些威脅令人生畏的因素之一是可能造成更多的損失。安全咨詢機構NCC集團在2021年8月發布的一份調查報告中指出,該公司的研究情報和融合團隊統計的全球勒索軟件攻擊數量在今年第一季度和第二季度之間增加了288%,企業將繼續面臨以勒索軟件形式出現的數字勒索浪潮。
眾所周知,勒索軟件對受到攻擊的企業來說可能代價高昂,其成本和費用往往集中在損失的業務、支付的勒索贖金、顧問費用等方面,同時也存在一些鮮為人知的財務影響。以下是企業遭遇勒索軟件攻擊時產生的一些意外成本,包括直接和間接成本。雖然有些成本與安全無關,但首席信息安全官和其他安全領導者需要意識到這些潛在成本,以證明對可以防止勒索軟件的安全措施進行投資的合理性。
1.影響業務運營
研究機構Forrester公司分析師Allie Mellen表示,在遭受勒索軟件攻擊之后,企業維持業務連續性可能是一筆巨大的開支。她說:“成功的勒索軟件攻擊可能會影響企業的業務運營長達數天、數周甚至數月的時間,如果員工無法登錄他們的企業帳戶或訪問他們的業務數據,他們就無法完成支持業務所需的重要工作。”
Equus Holdings公司前任首席數據安全和風險官、現任Rimage公司總裁兼首席執行官Christopher Rence表示,勒索軟件恢復成本通常是支付贖金成本的十倍。他說:“業務的恢復和連續性是關鍵所在,大多數企業不知道他們所有的數據在哪里。在恢復過程開始之前,他們不知道它們的數據是完全備份還是部分備份的。”
Rence表示,在數據得到恢復之后,受到損害的企業并不覺得自己脫離了危險。他說:“根據數據的復雜性,企業可能需要長達12個月的時間才能完全恢復。繼續恢復和持續盡職調查所需的技能超出了大多數企業IT團隊的技能范圍,這讓他們在未來幾年都處于弱勢。”
2.更高的網絡安全保險費用
如今,許多企業都購買了針對網絡安全攻擊的保險,考慮到此類入侵可能帶來的財務影響,這當然是有道理的。遭受勒索軟件攻擊的可能后果之一是導致保險費用增加。此外,獲得保險理賠的金額可能沒有預期的那么高。
研究機構IDC公司的企業安全研究副總裁Pete Lindstrom表示:“保險公司正在迅速采取行動限制他們的支出,而且保費也在增加。”
企業應該與他們的保險公司開展合作,以了解如何降低成本。Rence說:“在勒索軟件攻擊事件發生之后,保險公司將會進行全面的盡職調查,以確定受害的企業是否遵守了員工的流程、培訓和行動。”
3. 失去客戶信任
盡管難以量化,但在勒索軟件攻擊之后失去客戶信任可能是一個重大問題。Mellen說:“如果發生勒索軟件攻擊,客戶可能無法訪問客戶支持、銷售或業務中的任何其他功能,從而導致銷售損失、讓客戶感到沮喪,并認為企業的業務根本不可靠。”
即使客戶在短時間內失去信任感,也可能造成損害。這種信任的喪失不僅會影響現有客戶,還會影響潛在的新客戶。如果勒索軟件攻擊涉及暴露客戶的個人信息,這可能是一個特別麻煩的問題。信任問題還可以擴展到業務合作伙伴,例如供應商、服務提供商、顧問等。
4.增加營銷和公關投資
與失去信任相關的是重建信任和企業聲譽所需的營銷和公共關系工作和投資。
NCC集團在其研究中發現的一個重要趨勢是,勒索軟件團伙威脅泄露未付費受害者的被盜敏感數據以損害企業聲譽成為了一個普遍問題。
據該公司稱,這種強制支付的額外壓力被稱為“雙重勒索”,這是勒索軟件團伙越來越多使用的策略。Mellen說,“代表營銷團隊和企業的其他成員需要額外的費用來恢復他們的聲譽,并向客戶和潛在客戶證明業務是值得信賴的、可靠的和可用的。”
這些努力可能不僅涉及創建新聞發布和更新,還涉及廣告、社交媒體活動、媒體采訪和演講活動。所有這些都需要花費一些時間,而這些時間本可以花在更有成效的工作上。
5.合作伙伴的風險評估
Mellen表示,另一項隨著時間推移而增加的額外費用是合作伙伴和客戶評估第三方風險的成本。她說:“每當一家企業在遭遇網絡攻擊之后,都必須評估和審查與其合作的企業,以及要求他們必須遵守哪些附加標準。隨著這些流程的定義越來越明確,在各個行業中越來越普遍,為確保符合這些不斷提高的標準,不可避免地會增加業務成本。”
6. 技能流失
勒索軟件的破壞性攻擊不僅會導致客戶和合作伙伴的流失,還會導致員工流失。員工流失可能涉及流失一些難以替代的技術技能,例如與安全、數據分析和其他領域相關的技能。Rence表示,有些員工不想與受到網絡攻擊的企業有所關聯。
Rence 指出,獲得和更換這些技能的成本很高,尤其是更加積極地開展招聘工作,而且提供的薪酬可能更高一些。在某些情況下,一些企業會因為遭受勒索軟件之后被迫裁員而失去一些技能。根據安全機構Cybereason公司基于2021年4月對全球1263名網絡安全專業人員對勒索軟件的影響進行的一項調查,29%的受訪者表示,由于勒索軟件攻擊,他們所在的企業不得不裁員。
7.社會成本
勒索軟件攻擊的成本可能遠遠超出受害企業所承擔的成本。Lindstrom 說:“當一家受到勒索軟件攻擊的企業決定支付贖金時,這里的真正成本是所有人共同承擔的社會成本。幸運的是這種情況并不常見,并且其自身具有一系列重大風險,但獲得贖金對攻擊者來說有利可圖,以至于對其他企業的攻擊持續存在。”
Lindstrom 表示,企業付出的成本取決于那些決定支付贖金的人員。他說:“對于任何一家企業來說,這可能是降低成本的權宜之計,但它增加了勒索軟件攻擊者的利益,從而增加了其他所有人的風險。鑒于在勒索軟件世界中已經開發出一個包含經紀人和保險等選項的生態系統,未來將會出現更多的勒索軟件攻擊事件。”
