近日,全球保险业巨头安盛公司(AXA)周四宣布将暂停向法国客户提供勒索软件赎金赔付服务的政策,这也是保险行业首次终止勒索软件赔付业务。
作为欧洲排名前五的保险公司,安盛表示,由于法国司法和网络安全官员在上个月于巴黎举行的参议院圆桌会议上对全球勒索软件的肆虐所表达的担忧,正在暂停这一服务。
网络犯罪检察官约翰娜·布鲁斯(Johanna Brousse)在听证会上说:“今天,对于勒索软件,我们的态度是三个字:不付钱。”据网络安全公司Emsisoft透露,去年勒索软件对美国企业、医院、学校和地方政府攻击造成的损失方面超过了法国,据估计法国的相关总体损失超过55亿美元。
美国安盛子公司(美国网络保险的主要承销商之一)的发言人克里斯汀•韦尔斯基(Christine Weirsky)表示,此次“停服”仅适用于法国,不会影响现行政策。她说,这也不会影响针对勒索软件攻击做出反应并从中恢复的保险覆盖范围。
安盛还表示,犯罪分子只有在支付了赎金之后才提供软件密钥来解锁数据。去年开始,越来越多的勒索软件团伙开始窃取敏感数据,并以泄漏数据作为要挟,逼迫受害者付款。这促使赎金支付增加了近三倍,平均超过30万美元。勒索软件攻击的平均恢复时间为三周。
保险行业在赔付勒索软件赎金方面受到了广泛的批评。塔夫茨大学的网络安全专家约瑟芬·沃尔夫指出,它(勒索软件保险业务)已被纳入组织的风险管理实践中,“这是开展业务的成本之一。我认为这确实令人担忧,因为这助长了勒索软件业务的持续发展,人们一直在支付赎金(形成恶性循环)。”
上周,一个公私合作的工作组向白宫提交了一份长达81页的紧急行动计划,其中指出,勒索软件犯罪分子的财富增长只会助长更多的全球犯罪,包括恐怖主义。但是作者没有提倡禁止支付赎金,说支付有时可能是一家陷入困境的企业避免破产的唯一途径。美国官员则称勒索软件是对国家安全的威胁,一些立法者呼吁对缺乏IT资源易受攻击的地方当局立即进行财务救济。
美国网络保险公司Resilience首席索赔官,工作组联合主席迈克尔·菲利普斯(Michael Phillips)表示:“法国安盛(AXA France)的这一决定突显了网络安全保险市场的持续动荡”,因为保险公司正努力成功承保勒索软件赔付业务,但不断上升的索赔金额已经威胁到赢利能力。
菲利普斯表示,他并不认为美国保险公司也会加入“拒保勒索软件”的行列。但好的保险公司对客户的网络安全卫生要求越来越严格。许多受害者,例如资金短缺的州和地方政府,没有对安全进行足够的投资,并且容易成为勒索软件犯罪分子的猎物。
通常,这些罪犯会事先收集有关潜在目标的情报,并知道受害者何时投保了勒索软件赎金赔付保险,有时他们甚至知道保单的最高付款限额。
Emsisoft分析师布雷特·卡洛(Brett Callow)称,安盛公司的决定很明智,并指出,有些组织似乎更愿意支付赎金,如果这些钱不是自己掏腰包的话。“打破这种恶性循环的唯一方法是切断现金流,停止赔付赎金的做法很可能会有效。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】