勒索软件如今成为增长最快的网络安全攻击之一。使这些威胁令人生畏的因素之一是可能造成更多的损失。安全咨询机构NCC集团在2021年8月发布的一份调查报告中指出,该公司的研究情报和融合团队统计的全球勒索软件攻击数量在今年第一季度和第二季度之间增加了288%,企业将继续面临以勒索软件形式出现的数字勒索浪潮。
众所周知,勒索软件对受到攻击的企业来说可能代价高昂,其成本和费用往往集中在损失的业务、支付的勒索赎金、顾问费用等方面,同时也存在一些鲜为人知的财务影响。以下是企业遭遇勒索软件攻击时产生的一些意外成本,包括直接和间接成本。虽然有些成本与安全无关,但首席信息安全官和其他安全领导者需要意识到这些潜在成本,以证明对可以防止勒索软件的安全措施进行投资的合理性。
1.影响业务运营
研究机构Forrester公司分析师Allie Mellen表示,在遭受勒索软件攻击之后,企业维持业务连续性可能是一笔巨大的开支。她说:“成功的勒索软件攻击可能会影响企业的业务运营长达数天、数周甚至数月的时间,如果员工无法登录他们的企业帐户或访问他们的业务数据,他们就无法完成支持业务所需的重要工作。”
Equus Holdings公司前任首席数据安全和风险官、现任Rimage公司总裁兼首席执行官Christopher Rence表示,勒索软件恢复成本通常是支付赎金成本的十倍。他说:“业务的恢复和连续性是关键所在,大多数企业不知道他们所有的数据在哪里。在恢复过程开始之前,他们不知道它们的数据是完全备份还是部分备份的。”
Rence表示,在数据得到恢复之后,受到损害的企业并不觉得自己脱离了危险。他说:“根据数据的复杂性,企业可能需要长达12个月的时间才能完全恢复。继续恢复和持续尽职调查所需的技能超出了大多数企业IT团队的技能范围,这让他们在未来几年都处于弱势。”
2.更高的网络安全保险费用
如今,许多企业都购买了针对网络安全攻击的保险,考虑到此类入侵可能带来的财务影响,这当然是有道理的。遭受勒索软件攻击的可能后果之一是导致保险费用增加。此外,获得保险理赔的金额可能没有预期的那么高。
研究机构IDC公司的企业安全研究副总裁Pete Lindstrom表示:“保险公司正在迅速采取行动限制他们的支出,而且保费也在增加。”
企业应该与他们的保险公司开展合作,以了解如何降低成本。Rence说:“在勒索软件攻击事件发生之后,保险公司将会进行全面的尽职调查,以确定受害的企业是否遵守了员工的流程、培训和行动。”
3. 失去客户信任
尽管难以量化,但在勒索软件攻击之后失去客户信任可能是一个重大问题。Mellen说:“如果发生勒索软件攻击,客户可能无法访问客户支持、销售或业务中的任何其他功能,从而导致销售损失、让客户感到沮丧,并认为企业的业务根本不可靠。”
即使客户在短时间内失去信任感,也可能造成损害。这种信任的丧失不仅会影响现有客户,还会影响潜在的新客户。如果勒索软件攻击涉及暴露客户的个人信息,这可能是一个特别麻烦的问题。信任问题还可以扩展到业务合作伙伴,例如供应商、服务提供商、顾问等。
4.增加营销和公关投资
与失去信任相关的是重建信任和企业声誉所需的营销和公共关系工作和投资。
NCC集团在其研究中发现的一个重要趋势是,勒索软件团伙威胁泄露未付费受害者的被盗敏感数据以损害企业声誉成为了一个普遍问题。
据该公司称,这种强制支付的额外压力被称为“双重勒索”,这是勒索软件团伙越来越多使用的策略。Mellen说,“代表营销团队和企业的其他成员需要额外的费用来恢复他们的声誉,并向客户和潜在客户证明业务是值得信赖的、可靠的和可用的。”
这些努力可能不仅涉及创建新闻发布和更新,还涉及广告、社交媒体活动、媒体采访和演讲活动。所有这些都需要花费一些时间,而这些时间本可以花在更有成效的工作上。
5.合作伙伴的风险评估
Mellen表示,另一项随着时间推移而增加的额外费用是合作伙伴和客户评估第三方风险的成本。她说:“每当一家企业在遭遇网络攻击之后,都必须评估和审查与其合作的企业,以及要求他们必须遵守哪些附加标准。随着这些流程的定义越来越明确,在各个行业中越来越普遍,为确保符合这些不断提高的标准,不可避免地会增加业务成本。”
6. 技能流失
勒索软件的破坏性攻击不仅会导致客户和合作伙伴的流失,还会导致员工流失。员工流失可能涉及流失一些难以替代的技术技能,例如与安全、数据分析和其他领域相关的技能。Rence表示,有些员工不想与受到网络攻击的企业有所关联。
Rence 指出,获得和更换这些技能的成本很高,尤其是更加积极地开展招聘工作,而且提供的薪酬可能更高一些。在某些情况下,一些企业会因为遭受勒索软件之后被迫裁员而失去一些技能。根据安全机构Cybereason公司基于2021年4月对全球1263名网络安全专业人员对勒索软件的影响进行的一项调查,29%的受访者表示,由于勒索软件攻击,他们所在的企业不得不裁员。
7.社会成本
勒索软件攻击的成本可能远远超出受害企业所承担的成本。Lindstrom 说:“当一家受到勒索软件攻击的企业决定支付赎金时,这里的真正成本是所有人共同承担的社会成本。幸运的是这种情况并不常见,并且其自身具有一系列重大风险,但获得赎金对攻击者来说有利可图,以至于对其他企业的攻击持续存在。”
Lindstrom 表示,企业付出的成本取决于那些决定支付赎金的人员。他说:“对于任何一家企业来说,这可能是降低成本的权宜之计,但它增加了勒索软件攻击者的利益,从而增加了其他所有人的风险。鉴于在勒索软件世界中已经开发出一个包含经纪人和保险等选项的生态系统,未来将会出现更多的勒索软件攻击事件。”