企业高管必须做出关键决策,以引领企业走向成功。然而,最近的一项研究表明,企业在防范针对高管个人生活的攻击方面准备不足。
企业高管在指导业务运营和决策方面发挥着举足轻重的作用。他们的职位使他们能够接触到敏感信息,因此成为寻求宝贵数据和财务收益的网络犯罪分子的首要目标。针对企业高管的攻击日益普遍且手段高超。这些定向网络攻击不仅损害个人,还对企业造成伤害。
网络犯罪分子和黑客如何利用企业高管糟糕的网络安全习惯?
1.数据泄露和知识产权盗窃
企业高管通常能够接触到敏感信息,包括财务记录、战略计划和知识产权。针对这些高管的网络攻击可能导致数据泄露,使关键数据暴露或被窃取。
网络犯罪分子可能会瞄准高管,以窃取企业的知识产权、商业秘密和专有技术。当一家公司的知识产权落入竞争对手手中时,可能会削弱其在市场中的地位。这还可能引发国家安全问题。例如,2022年,一名前谷歌员工窃取了500多份包含谷歌人工智能技术信息的文件。
根据Blackcloak公司进行的研究,87%的高管密码目前可在暗网上找到。由于密码重复使用很常见(根据多项研究,60%~70%的人会这样做),这些密码中的某一个很可能提供访问公司信息的途径。
2.针对企业高管的网络攻击的后果
针对企业高管的攻击有时涉及金融欺诈计划。例如,钓鱼邮件攻击可能会诱骗高管发起未经授权的资金转账,从而给组织造成巨大的经济损失。根据IBM《2024年数据泄露成本报告》,美国平均数据泄露成本约为936万美元,而全球平均数据泄露总成本为488万美元。
此外,勒索软件攻击已成为针对知名人士的一种常见手段。网络犯罪分子会加密关键数据,并要求支付高额赎金以释放数据。支付赎金的成本,加上事件期间的业务中断,会对目标组织造成巨大的财务损失。
Verizon公司发布的《2024年数据泄露调查报告》指出,勒索软件几乎成为所有行业(92%)的顶级威胁,约三分之一的所有泄露事件都涉及勒索软件或勒索。
3.内部威胁和企业间谍活动
在某些情况下,针对高管的网络攻击可能涉及内部威胁,即心怀不满的员工或内部人员与外部人员勾结。这会导致员工信任度下降,并在工作场所营造一种恐惧和不确定的氛围。
根据CybersecurityInsiders和Gurucul发布的《2024年内部威胁报告》,超过三分之二(71%)的组织认为自己容易受到内部威胁。超过一半的受访者经历过六次或更多次内部攻击。此类攻击的成本估计差异很大——虽然三分之一的受访者表示成本在10万至49.9万美元之间,但近一半的受访者表示成本在50万至200万美元之间。
4.定向网络攻击的严重后果
(1)声誉损害和客户信任流失
当企业高管成为网络攻击的受害者时,他们可能会失去客户、投资者和合作伙伴的信任和信誉。对企业的负面公众认知可能导致潜在客户流失,进而导致客户留存率下降。
ChatGPT对数据泄露并不陌生。2023年,在九个小时的时间段内,1.2%的活跃ChatGPT Plus订阅用户的敏感个人和支付相关信息遭到泄露。2024年2月,该平台用户担心其正在泄露对话,从而泄露敏感数据。这导致许多公司禁止内部使用ChatGPT。
作为企业的公众形象,高管在维护企业声誉方面肩负着重大责任。任何与网络事件有关联的情况都可能损害他们个人的声誉以及他们所代表的组织声誉。例如,一名首席财务官在收到公司总部发来的一封电子邮件后,向一个未知银行账户转账4000万欧元。该事件曝光后,LeoniAG公司的股价暴跌7%,并且几乎用了两年的时间才恢复。最终,这名首席财务官被解雇。
(3)业务中断与运营停滞
针对高管的网络攻击会扰乱企业运营,并导致长时间的停摆。例如,如果高管的账户被攻破,可能会引发对关键系统的非法访问,从而阻碍日常活动的进行。
运营停滞会导致错过截止日期、生产力下降以及收入损失。此外,企业可能需要将资源转向事件响应和恢复工作,进一步削弱其运营能力。
2024年7月,CrowdStrike的FalconSensor的一次错误更新导致了全球范围内的MicrosoftWindows设备故障。数百万台Microsoft设备因此停止工作,致使全球各地的航空公司、火车站、医院、媒体机构和财富500强企业陷入瘫痪。据保险公司估计,此次事件给企业带来的总体损失将达到数十亿美元。CrowdStrike还在2024年的DEFCON大会上荣获了“最史诗级失败奖”。该公司总裁MichaelSenton说:“我们的目标是保护人们的安全,而这次我们搞砸了。”
5.法律与监管后果
定向网络攻击可能会给受影响的组织带来严重的法律与监管后果。许多司法管辖区都有严格的数据保护法,要求企业保护敏感信息,并向监管机构和受影响个人报告数据泄露事件。不遵守这些规定可能会导致巨额罚款和处罚,从而加剧网络事件对企业财务的影响。2021年,一名前员工下载了CashApp客户的财务信息,该公司因未安装本可阻止该事件发生的适当安全控制措施而被起诉。2024年,该公司选择庭外和解,并需支付1,500万美元的集体诉讼和解金,其中包括对受害人实际损失的赔偿。
结语
针对企业高管的网络攻击所带来的影响远远超出了个人受害者本身。随着网络威胁的不断演变,企业必须高度重视网络安全,并实施强大的防御措施。
对企业高管和员工进行网络安全最佳实践培训、定期更新安全协议以及进行全面风险评估,对于防范网络攻击至关重要。
通过投资全面的网络安全战略,并培养安全意识文化,企业可以减轻网络事件带来的潜在影响,保护其高管、员工、客户和其他重要资产。