勒索攻击蔓延到中国,如何应对网络安全风险?
全球勒索攻击愈演愈烈 |
2021年是勒索攻击屡创纪录的一年。
黑客组织攻击了美国最大的保险公司之一CNA Financial,在IT网络上部署了勒索软件,并加密了15000台设备导致无法正常使用。CNA Financial尝试了两周试图自行恢复数据仍无果。
美国东部最大的燃油管道殖民管道公司Colonial Pipeline被黑客组织Darkside勒索,勒索金额为500万美金,导致公司的运营网络被迫中断,美国多州陷入无油可用的尴尬局面,美国政府宣布进入国家紧急状态。
黑客组织对全球最大的肉类供应商JBS发动攻击,直接导致澳大利亚及美国肉食供应短缺。
而这些仅是愈发猖獗的勒索攻击的冰山一角。根据网络安全公司Emsisoft的报告,2020年美国境内至少发生15000起勒索攻击事件,带来的直接经济损失达230亿美元,这个经济损失是2015年的43倍。其中,Colonial Pipeline网络安全事件在美国引起轩然大波,美国联邦调查局(FBI)局长Christopher Wray 6月4日接受《华尔街日报》(the Wall Street Journal)时表示,勒索软件的威胁堪比“911”事件后全球恐怖主义带来的挑战。
在面临巨额勒索金的同时,被勒索的公司也遭受来自政府的质询和来自民间的巨大舆论压力。美国负责网络和新兴技术的副国家安全顾问Anne Neuberger表示:美国政府近期也就企业应不应该支付网络勒索赎金展开辩论。长期以来,美国联邦调查局(FBI)一直反对支付赎金,称这会鼓励更多此类攻击。2020年,美国财政部外国资产控制办公室(OFAC)发布咨文警告,向黑客组织支付赎金的举动可能会导致它们违反美国的制裁措施——即禁止企业与政府黑名单上的个人和实体进行交易。
而对网络攻击的受害者来说,被勒索公司发现自己面临一个两难的局面:由于这样的黑客组织往往会公然声称自己是为了“帮助”企业测试网络安全,以检验他们对用户数据隐私的重视程度。如果向黑客组织低头并支付赎金,会造成极大的财务损失,也极可能受到监管部门的处罚;但如果不支付赎金,而黑客组织将数据对外公布,则可能造成更严重的后果比如舆论危机、商业机密泄露等,也会引来政府和公众对企业内部治理能力的质疑。
在上述网络攻击事件中:
国内趋势 |
在国际重大勒索攻击事件频发的同时,国内勒索软件攻击形势也不乐观,被勒索的企业面临更加困难的局面。据国内某知名网络安全公司数据,仅2020年一年,他们就接到并处理了3800多起勒索软件攻击事件。2021年5月,某30强地产公司也遭到了大型勒索攻击,值得引起所有企业对网络安全及危机处理的重视。
2021年5月24日,美国媒体凯勒网称,俄语黑客组织REvil攻击了国内某知名港股上市地产公司,对该公司的重要文件进行勒索软件加密,同时提出高达400万美元的勒索金,声称只有公司支付“赎金”才会将这些文件解锁,否则将无法正常使用自己的文件。对该公司更不利的是,黑客组织的声明中称该公司“完全不在意数据泄露(completely uninterested in data breaches)”,因此才在网络上公开售卖该公司高达3TB的内部数据,包括员工身份证信息、所有施工计划、内部财务报表和其他机密文件。
然而时至今日,我们依然未见到该公司进行相关披露,这也是常见的国内企业的处理方式。不同于海外公司的处理方式,面对勒索要求,许多中国企业往往会低调处理,即向黑客支付赎金并尽量不对外公布。又或者以该公司为例,地产公司近年来预算紧张,很难有充足资金支付赎金或升级危机公关处理。面对数据泄露威胁,部分中国企业可能选择置之不理,让被侵犯者为企业网络安全防护不足买单。目前,我国对个人信息泄露事件的处罚偏低,相关法律环境的建设和受害者维权意识的觉醒较发达国家仍存在差距,即使出现数据泄露事故,所受处罚和第三方赔偿冲击有限,致使许多企业不重视相关风险。
然而,本次地产公司勒索事件的后续延伸或为改变这种局面打开了一个窗口。勒索事件本身和黑客组织可能作出的数据泄露声明都会引发企业的公关危机。作为上市公司,未能及时披露和完善相关风险管控机制将会受到证券监管的相关调查和处罚,可能造成股价波动引发证券类诉讼,对董监事及高管的管理失责进行问责追偿,因此情况会变得更加复杂。相比起赎金本身,事件对外公布后的危机处理,完善机制保护股东权益、保护资产负债表则是更为复杂的事情、如何转移网络安全风险将成为所有企业共同面临的紧迫问题。
中怡解决方案 |
面对愈演愈烈的勒索攻击风险,越来越多的企业选择利用网络安全险作为风险管控工具来转移风险。网络安全攻击的可能性始终存在,网络安全保险能够保障企业在系统受到威胁时尽可能减少财务和名誉损失。网络安全险承保因网络安全事故造成的第一方损失及第三方损失。
第一方损失
第三方损失
中怡作为网络安全风险管理的专家和行业领导者,将提供全方位风险咨询及管理服务,从以下四个维度为企业的网络安全保驾护航:
加强网络安全风险的识别和分析是首要任务,中怡网络安全风险专家可以帮助您识别可能存在的风险,从多个环节做好风险防范及管理措施,协助您加强网络安全基础设施。
由于网络攻击的不确定性,导致风险很难量化,一旦发生网络安全事故,会对公司的财务报表产生极大冲击。中怡网络安全风险专家可以提供基础设施安全测试、源代码检查等风险咨询及同行业风险类比分析服务,做好风险应对预案。
由于网络安全攻击发生频率低但造成损失大,可通过网络安全险将风险进行转移,保护公司财务报表。网络安全险主要覆盖企业遭受网络攻击时的第一方和第三方损失,作为新型险种,存在市场定价条款差异大、投保及理赔过程复杂等问题。中怡作为网络安全险经纪公司,代表客户利益,可以协助您挑选最适合的保险组合转移风险。
一旦发生勒索攻击,需要启动紧急响应机制,快速高效地应对相应事件。中怡认为,紧急响应机制是企业整体风险管理极其重要的一部分,应由高级管理层驱动,中怡的网络安全风险专家拥有丰富相关经验,可以在制定风险管理政策和目标过程中提供支持。
中怡的优势 |
怡安集团是业内首家拥有并提供网络安全风险咨询业务的保险集团,拥有行业的专业能力和丰富经验,为客户提供全方位的网络安全风险评估和管理服务,帮助客户提早准备和应对网络安全事件,并且实施行之有效的风险转移方案。中怡通过全球网络和先进的风险管理技术,为客户提供多元化的风险管理及网络安全保险服务,协助提升企业网络安全风险管理水平,在中国成为无可争议的市场引领者,和各主要行业客户首选的合作伙伴。同时,中怡作为牵头人引导外资保险人进入中国市场和中资保险公司进入网络安全险市场,因此拥有极高的市场话语权及强大的议价能力。
中怡持续对网络安全险业务予以大力投入,为客户配备金融及专业责任方面(FSPG)的专职经纪人团队,并得到怡安亚太区及全球金融及专业责任专家的支持。
购买保险是风险管理中重要的一部分,中怡格外关注网络安全风险的分析、识别、量化以及损失控制,对客户经济有效地购买保险产生积极影响。中怡网络安全专家通过专业模型及分析帮助客户识别网络安全风险点,预测网络安全攻击可能造成的营业中断损失。充分利用母公司强大的资源和技术力量,为中国企业在新时代的发展壮大保驾护航。
如果您对此次内容感兴趣或有相关需求,敬请联系:
Johnson Zhou |
|
Alyssa Liu |
网站地图 | 法律 | 隐私 |
沪ICP备07035154号-1 | 本站已支持IPV6
沪公网安备31011502016565号
Copyright © 2021 AonCOFCO. All Rights Reserve