随着勒索软件(即劫持企业数据或应用直至企业为数据的解密支付钱财)威胁的不断增长,各行各业的企业发现,为了使勒索者释放公司的机密信息,需要与这些犯罪份子谈判。
例如,某医院曾为被犯罪份子加密的系统支付10多万元。在遭受攻击期间,医院的工作人员恢复了一些纸质记录,并将一些高风险的病人转移到本地医院。该医院的许多操作都依赖计算机和互联网访问,如果医院不能访问这些系统,其带来的后果将是灾难性的。
如果数据或软件无法访问,就会延误企业的运行,给企业带来金钱损失,并破坏企业信誉。因此,企业管理层将不断增长的勒索软件威胁作为一种企业风险而不是单纯的IT问题至关重要。
在发生事件时,时间是关键问题。企业等待的时间越长,企业的职能和声誉遭受损害的时间就越长。所以,在攻击发生之前,企业制定一个勒索软件事件的响应计划(其中包括决定是否为被劫持的数据花钱)是很重要的。从根本上说,是否向勒索者付款是一个要求企业慎重考虑的企业决策,因而必须提前讨论和决定。
虽然每个企业的特点不同,但在威胁发生之前,任何企业都可以采取一些措施。在攻击之前考虑这些问题不但有助于事件响应,而且还可以向客户和公司利益的相关人员及公众展示,企业有一套应对勒索软件事件的健全策略。
在制定计划和考虑是否向勒索者付款时,企业需要考虑如下问题:
1.企业是否拥有数据的备份和镜像?
随着公司数据以指数级增长,企业要知道拥有哪些信息及其存放位置是很困难的。但是,这对于决定是否需要向勒索者支付金钱。如果公司有一套被劫持的数据的备份,企业还可以用备份恢复生成新的数据副本,而无需向勒索者付款。
2.数据的重要性如何?
企业应当清查其数据和系统,确认一些至关重要的运营要素,然后决定企业需要为被劫持的数据花费多少钱。一旦发生了攻击,提前决定具体标准可以使对勒索者的响应更为简易。
3.声誉受到怎样的损害?
对于致力于为大众提供服务和保护的企业来说,声誉受到损害的后果尤其严重。企业除了考虑到被劫持数据的重要性,还要考虑到企业响应勒索软件的攻击方式如何影响到企业声誉。
4.考虑多种可能性
虽然向勒索者支付钱财是勒索者释放数据的最简单方法,但是不能绝对地保证犯罪份子一定会归还企业的数据和信息,因为企业毕竟是在与专业的窃贼打交道。但是,多数企业都可以得到其数据。另一种看法是,支付“勒索金”只能鼓励犯罪者,并使其变本加厉。但是,同样可能的情况是,企业可能成为一个不受关注的目标,因为此后企业会更警觉并针对此类攻击而强化系统。
在支付勒索金并且企业的数据被解锁后,常规的企业功能就能恢复。非常重要的是,公司解决攻击造成的潜在余波和公司的反应是很重要的。企业应当考虑如何将其策略传达到客户和行业,并提升企业股东的信心和强化安全以防止下一次攻击。
在事件发生之前而不是在攻击发生期间就彻底地思考这些假设是非常关键的。准备好一套清晰的响应计划帮助企业决定是否需要为被劫持或加密的数据支付赎金,有助于理性地对付攻击,并制定最佳决策。