隨著勒索軟件攻擊激增,2024年預計將成為有記錄以來最糟糕的一年之一,美國官員正在尋找應對這一威脅的方法。在一篇最近的《金融時報》專欄文章中,負責網絡及新興技術的美國國家安全副顧問安妮·努伯格(Anne Neuberger)指出,保險政策,尤其是涵蓋勒索付款賠償的保險,正在助長她們本意想要減少的犯罪生態系統。她提倡對於這類保險應施加更嚴格的網絡安全要求,藉此阻止勒索付款。
根據美國國家情報總監辦公室的最新報告,到2024年中已錄得超過2,300起網絡事件,其中近一半針對美國組織,顯示2024年的攻擊數量可能會超過2023年的4,506起。即使政策制定者密切檢視保險實踐,企業在遭受攻擊時仍然面臨迫切的決策壓力:支付贖金以防止未來的攻擊,還是拒絕支付以避免進一步的損害。
決定是否支付贖金對許多組織而言都是一個困難而緊迫的決定。IT服務公司Neovera的安全副總裁保羅·安德伍德(Paul Underwood)表示,他參加了一次FBI的簡報會,FBI持續建議不要支付贖金,但他也表示,當公司做出決策時,這不僅僅是道德或良好商業實踐的考量,還需要考慮其他因素。即使FBI也理解,企業需要採取行動恢復運營。
網絡安全專家布賴恩·霍爾納(Bryan Hornung)指出,在決策上可考慮的因素很繁多,並且強調了恢復操作的迫切性可能會迫使企業做出他們未準備好的決定。影響敏感數據暴露的潛在風險,尤其是涉及客戶、員工或合作夥伴的情況,更加增強了這種恐懼。一旦數據洩露,機構可能面臨即時損害的可能性,還有來自受影響人員的集體訴訟,訴訟及和解成本在某些情況下甚至會遠遠超過贖金要求。
例如,位於賓夕法尼亞的萊海谷健康網絡(Lehigh Valley Health Network)在2023年拒絕支付500萬美元的贖金,結果導致13.4萬名患者的數據在暗網上被洩露,並最終以6500萬美元和解的結果使其承受了法律後果。與此同時,背景檢查巨頭國家公共數據(National Public Data)則面臨多起集體訴訟和來自20多個州的公民權利違反指控。
隨著網絡安全的日益重要,專家一致同意,預防是最終的解決方案。霍爾納建議企業將其總收入的1%到3%用於網絡安全,以高敏感數據處理的醫療和金融服務行業應更加靠近範圍上限。安德伍德補充說,如端點檢測和數據備份等主動措施可以在攻擊發生時最小化損害。這樣一來,支付贖金就能成為最後的選擇,而非第一個選擇。
