2016年,一個知名的NASCAR賽車隊成為勒索軟件攻擊的受害者。該車隊公開表示,他們支付了贖金,被扣數(shù)據(jù)的價值比實際贖金要高數(shù)百萬。像NASCAR車隊這樣公開這些信息是否明智?當企業(yè)決定支付勒索軟件攻擊贖金時,是否應(yīng)該告知公眾?
Mike O. Villegas:早在2003年7月,加利福尼亞州通過一項法律,要求“任何未經(jīng)加密的個人信息被未經(jīng)授權(quán)的人獲取或被合理相信已被獲取需告知于眾”。目前,在美國有47個州有類似的有關(guān)數(shù)據(jù)泄露的法律要求。
問題是勒索軟件是否已經(jīng)構(gòu)成需要進行披露于眾的違法行為。加利福尼亞州法律規(guī)定,違法行為意味著“未經(jīng)授權(quán)獲取計算機數(shù)據(jù)、損害個人或企業(yè)所持有的個人信息的安全性、保密性或完整性”。
盡管解釋起來比較麻煩,勒索軟件不會危及個人信息的安全性、保密性或完整性。它妨礙企業(yè)訪問被加密信息,除非企業(yè)向提供解密密鑰的攻擊者付款。攻擊者無法訪問數(shù)據(jù),對于數(shù)據(jù),他們并不修改、查看或使用來打破安全保護。從技術(shù)上講,勒索軟件攻擊并沒有構(gòu)成違反披露法所定義的行為,因而可能并不需要向政府或監(jiān)管機構(gòu)報告勒索軟件攻擊事件。
不過很多安全專家認為,感染勒索軟件必然違反企業(yè)安全防御,企業(yè)應(yīng)該對其進行披露。大多數(shù)勒索軟件都是對關(guān)鍵數(shù)據(jù)進行加密,如果勒索軟件攻擊被確定為違法行為,那么企業(yè)不僅需要通知其客戶,也需要將其報告給政府層面。
網(wǎng)絡(luò)安全專家建議不要支付贖金。但實際上,考慮到資產(chǎn)的關(guān)鍵性,企業(yè)往往不得不進行支付。如果沒有進行適當?shù)膫浞荩敲粗Ц囤H金可能是唯一的選擇。那么通告勒索軟件攻擊又待如何?
從企業(yè)的角度來看,遭受勒索軟件攻擊顯示了企業(yè)內(nèi)部控制結(jié)構(gòu)有漏洞,給黑客進入企業(yè)環(huán)境以可乘之機,同時也暴露出企業(yè)缺乏足夠的備份和恢復(fù)計劃以減輕勒索軟件帶來的影響。往往這會造成重大業(yè)務(wù)中斷、收入損失、客戶、聲譽和新業(yè)務(wù)的丟失。CISO也免不了成了替罪羊。如果勒索軟件加密的數(shù)據(jù)是敏感信息(如PCI、HIPAA或PII),且企業(yè)處于數(shù)據(jù)泄露狀態(tài),那么對勒索軟件攻擊的詳細信息進行通告是必要的。
京公網(wǎng)安備 11010502049343號