眾所周知,勒索軟件對受到攻擊的企業(yè)來說可能代價(jià)高昂,其成本和費(fèi)用往往集中在損失的業(yè)務(wù)、支付的勒索贖金、顧問費(fèi)用等方面,同時(shí)也存在一些鮮為人知的財(cái)務(wù)影響。以下是企業(yè)遭遇勒索軟件攻擊時(shí)產(chǎn)生的一些意外成本,包括直接和間接成本。雖然有些成本與安全無關(guān),但首席信息安全官和其他安全領(lǐng)導(dǎo)者需要意識到這些潛在成本,以證明對可以防止勒索軟件的安全措施進(jìn)行投資的合理性。
1.影響業(yè)務(wù)運(yùn)營
研究機(jī)構(gòu)Forrester公司分析師Allie Mellen表示,在遭受勒索軟件攻擊之后,企業(yè)維持業(yè)務(wù)連續(xù)性可能是一筆巨大的開支。她說:“成功的勒索軟件攻擊可能會影響企業(yè)的業(yè)務(wù)運(yùn)營長達(dá)數(shù)天、數(shù)周甚至數(shù)月的時(shí)間,如果員工無法登錄他們的企業(yè)帳戶或訪問他們的業(yè)務(wù)數(shù)據(jù),他們就無法完成支持業(yè)務(wù)所需的重要工作。”
Equus Holdings公司前任首席數(shù)據(jù)安全和風(fēng)險(xiǎn)官、現(xiàn)任Rimage公司總裁兼首席執(zhí)行官Christopher Rence表示,勒索軟件恢復(fù)成本通常是支付贖金成本的十倍。他說:“業(yè)務(wù)的恢復(fù)和連續(xù)性是關(guān)鍵所在,大多數(shù)企業(yè)不知道他們所有的數(shù)據(jù)在哪里。在恢復(fù)過程開始之前,他們不知道它們的數(shù)據(jù)是完全備份還是部分備份的。”
Rence表示,在數(shù)據(jù)得到恢復(fù)之后,受到損害的企業(yè)并不覺得自己脫離了危險(xiǎn)。他說:“根據(jù)數(shù)據(jù)的復(fù)雜性,企業(yè)可能需要長達(dá)12個(gè)月的時(shí)間才能完全恢復(fù)。繼續(xù)恢復(fù)和持續(xù)盡職調(diào)查所需的技能超出了大多數(shù)企業(yè)IT團(tuán)隊(duì)的技能范圍,這讓他們在未來幾年都處于弱勢。”
2.更高的網(wǎng)絡(luò)安全保險(xiǎn)費(fèi)用
如今,許多企業(yè)都購買了針對網(wǎng)絡(luò)安全攻擊的保險(xiǎn),考慮到此類入侵可能帶來的財(cái)務(wù)影響,這當(dāng)然是有道理的。遭受勒索軟件攻擊的可能后果之一是導(dǎo)致保險(xiǎn)費(fèi)用增加。此外,獲得保險(xiǎn)理賠的金額可能沒有預(yù)期的那么高。
研究機(jī)構(gòu)IDC公司的企業(yè)安全研究副總裁Pete Lindstrom表示:“保險(xiǎn)公司正在迅速采取行動限制他們的支出,而且保費(fèi)也在增加。”
企業(yè)應(yīng)該與他們的保險(xiǎn)公司開展合作,以了解如何降低成本。Rence說:“在勒索軟件攻擊事件發(fā)生之后,保險(xiǎn)公司將會進(jìn)行全面的盡職調(diào)查,以確定受害的企業(yè)是否遵守了員工的流程、培訓(xùn)和行動。”
3. 失去客戶信任
盡管難以量化,但在勒索軟件攻擊之后失去客戶信任可能是一個(gè)重大問題。Mellen說:“如果發(fā)生勒索軟件攻擊,客戶可能無法訪問客戶支持、銷售或業(yè)務(wù)中的任何其他功能,從而導(dǎo)致銷售損失、讓客戶感到沮喪,并認(rèn)為企業(yè)的業(yè)務(wù)根本不可靠。”
即使客戶在短時(shí)間內(nèi)失去信任感,也可能造成損害。這種信任的喪失不僅會影響現(xiàn)有客戶,還會影響潛在的新客戶。如果勒索軟件攻擊涉及暴露客戶的個(gè)人信息,這可能是一個(gè)特別麻煩的問題。信任問題還可以擴(kuò)展到業(yè)務(wù)合作伙伴,例如供應(yīng)商、服務(wù)提供商、顧問等。
4.增加營銷和公關(guān)投資
與失去信任相關(guān)的是重建信任和企業(yè)聲譽(yù)所需的營銷和公共關(guān)系工作和投資。
NCC集團(tuán)在其研究中發(fā)現(xiàn)的一個(gè)重要趨勢是,勒索軟件團(tuán)伙威脅泄露未付費(fèi)受害者的被盜敏感數(shù)據(jù)以損害企業(yè)聲譽(yù)成為了一個(gè)普遍問題。
據(jù)該公司稱,這種強(qiáng)制支付的額外壓力被稱為“雙重勒索”,這是勒索軟件團(tuán)伙越來越多使用的策略。Mellen說,“代表營銷團(tuán)隊(duì)和企業(yè)的其他成員需要額外的費(fèi)用來恢復(fù)他們的聲譽(yù),并向客戶和潛在客戶證明業(yè)務(wù)是值得信賴的、可靠的和可用的。”
這些努力可能不僅涉及創(chuàng)建新聞發(fā)布和更新,還涉及廣告、社交媒體活動、媒體采訪和演講活動。所有這些都需要花費(fèi)一些時(shí)間,而這些時(shí)間本可以花在更有成效的工作上。
5.合作伙伴的風(fēng)險(xiǎn)評估
Mellen表示,另一項(xiàng)隨著時(shí)間推移而增加的額外費(fèi)用是合作伙伴和客戶評估第三方風(fēng)險(xiǎn)的成本。她說:“每當(dāng)一家企業(yè)在遭遇網(wǎng)絡(luò)攻擊之后,都必須評估和審查與其合作的企業(yè),以及要求他們必須遵守哪些附加標(biāo)準(zhǔn)。隨著這些流程的定義越來越明確,在各個(gè)行業(yè)中越來越普遍,為確保符合這些不斷提高的標(biāo)準(zhǔn),不可避免地會增加業(yè)務(wù)成本。”
6. 技能流失
勒索軟件的破壞性攻擊不僅會導(dǎo)致客戶和合作伙伴的流失,還會導(dǎo)致員工流失。員工流失可能涉及流失一些難以替代的技術(shù)技能,例如與安全、數(shù)據(jù)分析和其他領(lǐng)域相關(guān)的技能。Rence表示,有些員工不想與受到網(wǎng)絡(luò)攻擊的企業(yè)有所關(guān)聯(lián)。
Rence 指出,獲得和更換這些技能的成本很高,尤其是更加積極地開展招聘工作,而且提供的薪酬可能更高一些。在某些情況下,一些企業(yè)會因?yàn)樵馐芾账鬈浖蟊黄炔脝T而失去一些技能。根據(jù)安全機(jī)構(gòu)Cyber??eason公司基于2021年4月對全球1263名網(wǎng)絡(luò)安全專業(yè)人員對勒索軟件的影響進(jìn)行的一項(xiàng)調(diào)查,29%的受訪者表示,由于勒索軟件攻擊,他們所在的企業(yè)不得不裁員。
7.社會成本
勒索軟件攻擊的成本可能遠(yuǎn)遠(yuǎn)超出受害企業(yè)所承擔(dān)的成本。Lindstrom 說:“當(dāng)一家受到勒索軟件攻擊的企業(yè)決定支付贖金時(shí),這里的真正成本是所有人共同承擔(dān)的社會成本。幸運(yùn)的是這種情況并不常見,并且其自身具有一系列重大風(fēng)險(xiǎn),但獲得贖金對攻擊者來說有利可圖,以至于對其他企業(yè)的攻擊持續(xù)存在。”
Lindstrom 表示,企業(yè)付出的成本取決于那些決定支付贖金的人員。他說:“對于任何一家企業(yè)來說,這可能是降低成本的權(quán)宜之計(jì),但它增加了勒索軟件攻擊者的利益,從而增加了其他所有人的風(fēng)險(xiǎn)。鑒于在勒索軟件世界中已經(jīng)開發(fā)出一個(gè)包含經(jīng)紀(jì)人和保險(xiǎn)等選項(xiàng)的生態(tài)系統(tǒng),未來將會出現(xiàn)更多的勒索軟件攻擊事件。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號