针对关键基础设施部门的勒索软件攻击浪潮正在增加并达到前所未有的水平。如今,不断变化的技术、法律和监管风向使得这场工业环境灾难越来越难以管理,成为许多CISO的首要任务。企业必须解决的一些难题:是否支付了赎金?网络保险是否提供足够的保护?政府的角色是什么?是否即将出台新的法规和处罚措施?对手如何发展他们的战术?密切关注网络犯罪分子及其技术。他们拥有经过验证的商业模式,并仔细考虑了勒索??软件的财务计算。他们已决定是发起直接攻击以实现利润最大化,还是提供勒索软件即服务,包括帮助台和其他支持服务以补充收入,同时让技能较低的恶意行为者受益。他们根据支付能力对受害者和目标组织进行了调查。所有这些策略都是协同设计和执行的,以使支付赎金成为阻力最小的途径——无论是在经济上还是在逻辑上。勒索软件活动的每个方面都旨在引起目标的情绪反应,因此支付赎金比承担试图恢复自己的成本和延误要容易得多。企业面临的困境现在不是绝对道德的时候。关于企业是否应该支付赎金存在激烈争论,一些人警告说支付赎金将导致更多的勒索软件攻击。虽然这是事实,但考虑到利害关系,这根本不切实际或不可行。纸上谈兵很容易,但考虑到受害者感受到的压力,这可能是更好的选择。指责他们在面对网络攻击以及他们公司的曝光和未知命运时不支付赎金,就像告诉抢劫受害者不要交出他们的钱包一样荒谬。禁止支付赎金只会增加痛苦。此外,另一个经过深思熟虑的步骤是执法机构应通过将赎金支付定为非法来禁止支付赎金。但专家认为,这将使政界和商界领袖陷入两难境地,他们需要在违法或影响公共安全和经济之间做出选择。不要将风险转移误认为是控制。虽然网络保险是一种有效的风险转移机制,但不应将其与现有计划相混淆。它也不能替代良好的治理和风险管理。事实上,网络犯罪分子正积极瞄准拥有网络保险的企业,因为他们知道这些受害者更有可能支付赎金。随着成本上升以及可用于创建精算表的数据有限,在线保险公司的保费和免赔额开始上升。保险公司表示,如果企业没有适当的控制和治理,他们将不会承保勒索软件攻击。与任何类型的风险缓解策略一样,保险只是一个组成部分。企业应如何应对从无知到忽视会产生紧迫感。公司董事会和高层管理人员了解并考虑避免各种业务风险,包括市场风险、供应链风险和流动性风险,但许多人不了解工业网络风险。公司董事会都有责任向最高管理层提出问题,形成自己对风险承受能力的看法,制定良好的弹性计划,并了解其运营环境中网络风险的当前状态。就CISO而言,提高对这一新风险类别的认识将创建一个公司董事会不能忽视的平台。鉴于通过数字化转型获得的所有优势,工业企业内部的网络风险不是“如果”的问题,而是“何时”的问题。一旦有风险,就很容易惹上麻烦。现在是开始加强工业网络安全的时候了。命运眷顾有准备的人。虽然有时面对网络攻击您可能无能为力,但您可以做很多事情来降低风险。美国国家标准与技术研究院开发了一个网络安全框架,该框架有助于提供一系列步骤,说明组织如何能够主动思考并采取行动以随着时间的推移保护其基础设施。通过立即实施建议的控制措施并建立坚实的基础,企业可以减少事后反应的担忧。例如,了解操作环境、进行桌面演习并正式确定与事件响应和律师事务所的关系,并为网络攻击做好准备。改变财务计算。勒索软件攻击的财务模型历来倾向于收取费用。巴尔的摩市是网络攻击的一个广为人知的例子,该市损失了超过1800万美元的收入损失和恢复系统的直接成本,但在网络攻击当天,赎金仅为76,000美元的比特币。因此,美国众议院和参议院的国会议员都制定了立法来推动强制性事件报告,并制定激励措施和抑制措施来改变财务和风险处理方式,以支持更好的控制和风险治理。只要有回报,针对关键基础设施部门的勒索软件攻击就可能继续下去。降低风险最有效的途径之一是探索可用的技术、法律和监管工具来支持和鼓励降低风险的行为。这需要全社会的共同努力和合乎道德且可行的方法,其中包括结合主动技术和实践、缓解措施和响应。深入了解正在发挥作用的多种措施可以朝着正确的方向前进。
