面對勒索軟體攻擊激增,許多大型企業都在今年都遭到重創,不少公司因此決定向駭客支付贖金以取回資料,意圖透過花錢的方式簡單消災。
然而,負責網絡和新興技術領域的美國國家安全副顧問 Anne Neuberger 認為,面對勒索軟體要求贖金,企業選擇乖乖接受,其實並非最好的解決方式,甚至還會促進犯罪生態系繼續成長,引來駭客更加積極的攻擊,並且形成長期的惡性循環。
企業至少已向駭客支付 31 億贖金
Anne Neuberger 在英國《金融時報》發表文章指出,今年早些時候,美國一家健康保險巨頭遭遇攻擊,導致旗下醫院和藥房停業數週,並損失高達 8.72 億美元,但這數字還不包括該公司向俄羅斯犯罪集團支付的 2200 萬美元贖金。
隨著勒索軟體的威脅越來越大,無論小型企業或公共基礎設施,全都面臨著嚴重威脅。美國政府統計,自 2021 年以來,官方就發現了 4900 多起勒索軟體攻擊,企業至少因此支付了高達 31 億美元贖金,全都直接落入到犯罪份子手中。
為了應對勒索軟體威脅,降低遭受攻擊所帶來的損失,企業經常會選擇保險公司提出的方案,藉由保單方式讓公司在遭到勒索軟體影響時,有能力支付贖金以取回資料。然而 Ann Neuberger 表示,把保單當成後盾並付錢了事,反而助長了網路犯罪生態系統,事實上是一種「令人不安」的做法,必須於未來得到終結。
專門從事勒索軟體預防的資安公司 BlackFog 也站在相同立場,指出向駭客妥協並支付贖金,其實是鼓勵犯罪集團發起更多攻擊,而且一旦敏感資料外洩,對於企業的傷害就已經造成。
妥協與否的考量是「商業決策」
IT 服務公司 Neovera 資安主管 Paul Underwood 指出,FBI 曾在一次會議上聲明,美國政府建議遭到勒索軟體攻擊的企業,不應該主動支付贖金,但政府也理解「要不要付錢」的背後考量,其實仍是一項商業決策,不單單關乎正義與道德;FBI 明白,企業總是需要在最短時間內,讓一切運作恢復正常。
資安公司 Xact IT Solutions 執行長 Bryan Hornung 也表示,企業在決定是否要支付贖金時,需要考量很多因素,並非是單純的「非黑即白」,尤其是恢復營運的緊迫性,可能會促使企業做出不夠深思熟慮的決定,並對損失逐漸擴大產生超乎預期的擔憂。
Bryan Hornung 說,就他過去的處理經驗,他曾見過發誓永遠不會向駭客付錢的企業執行長,竟然在公司面臨長時間停擺後,一夕之間決定改變態度,把錢乖乖交給駭客。
贖金比訴訟成本更低,迫使企業付錢
除了營運中斷外,敏感資料的外流問題,尤其是涉及企業的客戶、員工或合作夥伴時,也會加劇他們的恐懼和緊迫感,因為這不僅會導致企業聲譽受損,甚至還可能讓公司面臨受集體訴訟。
Bryan Hornung 指出,在某些情況下,企業會發現處理後續訴訟與和解的成本,遠遠超過駭客的贖金要求,導致他們願意支付贖金,凍結不斷擴大的影響範圍。
舉例來說,在 2023 年一家位於美國賓州的醫院,由於拒絕向駭客支付 500 萬美元贖金,導致暗網上曝光了 134000 名患者的資料,其中包括約 600 名乳癌患者的裸照,導致病患最終決定提出集體訴訟,使醫院提出比駭客要求更多的 6500 萬美元達成和解。
預防勝於治療,制定應變企劃成關鍵
Bryan Hornung 建議,企業應該將總收入的 1% 到 3%,以預算形式分配給資訊安全項目,其中處理高度敏感資料的醫療保健和金融服務行業,其分配比例還要更高。
Axio 網路安全專家 Richard Caralli 也表示,在面對勒索軟體攻擊時,企業往往會感到恐慌,並且下意識以最簡單的方法,例如支付贖金以解決問題。
因此為了避免這種情況,事先訂定相關應變企劃就變得十分重要,內容應該包含遭到攻擊期間應該採取的行動,同時常態性進行可靠的資料備份與定期演練,藉此確保未來攻擊真正發生時,擁有足夠的餘裕可以應對。
