这是查理·麦克莱恩·布里斯托尔的博客, PlanB咨询公司董事, 他讨论了支付赎金的利弊,并为我们提供了一些关于如何在面对勒索软件威胁时更有弹性的建议.
本周, 我和一个房屋协会进行了一次网络演习, 我和一个高级管理团队还有一个即将到来的练习. 高管们面临的一个大问题是,他们是否应该支付所要求的赎金. 在今天的新闻公报中, 在决定是否支付赎金时,我想和大家分享一下我的一些想法. 根据“网络勒索事件响应公司”Coveware在2022年的数据, 41%的受害者得到赔偿[1], 所以如果你要付钱, 你不会孤单.
那么,在决定是否付款时,你应该考虑哪些因素呢?
- 你可以付钱吗? 危机处理小组需要知道他们是否有权支付或决定支付, 或者是否必须将决定传递给母公司, 董事会, 或政府, 如果你是一个政府机构. 其次, 该团队是否有权支付赎金要求的金额, 还是有一些障碍使这笔金额得到批准? 赎金金额可能是数百万甚至数千万美元. 支付赎金的决策和权限应该在任何事件发生之前达成一致并进行讨论.
- 你通常付得起赎金. 那些勒索组织的人通常会对组织进行研究,并考察他们的支付能力. 他们通常会把金额设定在可承受范围内, 但这是公司可能支付的最高价格. 我相信寄给博天堂入口学院的赎金和袭击发生时他们银行账户里的钱一模一样. The hackers don’t always get this right; the hackers of Royal Mail set the ransom at £67m, 以为他们入侵了皇家邮政, 当他们真正攻击国际包裹业务时, 哪个没有同样的经济能力.
- 对业务运营有什么影响? 黑客阻止了你进行哪些活动, 以及对组织的影响? 对于一些机构, 如果他们所有的数据都被锁定, 那他们就没有生意了, 而对其他人来说, 他们的基本商业模式没有受到黑客攻击的影响. 支付或不支付的决定取决于锁定数据所造成的不便程度.
- 数据发布的影响是什么? 数据是否被泄露, 那么,如果数据泄露并公开,对组织的影响是什么? 你必须从尴尬和声誉的角度来考虑对组织的影响, 还有那些数据丢失的人. 对员工会有什么影响, 客户, 如果你处理的是高度敏感的信息, 如果这些数据被公开,会对您的业务模式产生什么影响?
- 我们有什么备份,我们的恢复时间是什么? 如果一个组织的备份是气隙的,黑客就无法破坏或加密它们, then the organisation can recover with a minimum loss of data; there would be no need to pay. 如果备份不可用,您可能别无选择,只能付费. 如果备份可用, 然后,应该知道恢复它们以及启动和运行应用程序所花费的时间,以便了解网络事件的影响.
- 如果你付钱,你会得到什么? 根据Gartner[2]的数据,平均而言,组织可以找回65%的数据. 有些会得到更多,但你可能是得到更少的组织. 黑客会删除被盗数据吗? 他们会在晚些时候出售或披露它吗?
- 通知有关部门. 如果你付钱, 那么它可能不会否定你告诉当局你受到了勒索软件攻击的要求. 您应该确切地了解您需要报告什么以及何时报告, 这取决于你持有的数据, 数据保存在哪个司法管辖区, 以及你的组织受什么法规或监管机构的约束.
- 成本效益. 2019年3月,铝制避难所挪威海德鲁(Norsk Hydro)遭受了勒索软件攻击. 他们的反应被奉为“黄金标准”. 我以为赎金要求是六百万美元, 但我找不到证据来证实这一点, 但如果他们把金额谈下来, 可能只有几百万. 根据不同的计算方法,这次攻击的成本估计在4500万至7000万美元之间. 在成本效益方面, 这对他们来说更容易支付,也会节省他们的钱, 但在第一天, 他们做了一个行政决定,他们不会付钱, 就是这样.
- 道德和文化层面. 付钱给罪犯是一个道德决定. 如果我们付钱给他们,这将鼓励他们回来找我们或其他受害者. 你应该用股东或公众的钱来支付罪犯吗? 薪酬是否符合贵公司的组织文化? 挪威海德鲁公司不付款的决定在很大程度上受其企业文化的影响. 你的员工, 客户, 主人, 或者是公众成员, 看到你的组织,你就知道你已经支付了赎金?
- 你付钱给谁?? 有一些组织,支付可能导致违反法律, 包括公认的恐怖组织或个人, 以及受制裁的实体. 是的, 您需要对您正在支付的实体进行尽职调查,并通过支付赎金来确保这一点, 或者有人替你付钱, 你没有违反你的国家法律.
当处理勒索软件的情况, 你可能会经历各种各样的情绪,比如愤怒, 恐惧, 失去控制. 重要的是要记住,最终,勒索软件纯粹是一个商业决策. 勒索软件团伙本质上是在向你提出商业建议, 你必须权衡接受他们的提议的利弊. 勒索软件团伙会利用他们掌握的所有策略迫使你做出情绪化的决定,而不是理性的决定, 包括施加有限的时间限制, 表示愿意迅速解决问题, 并能让你迅速恢复正常运作. 不带感情地接近事件,避免团伙的压力,让你处于一个更好的位置,做出理性的决定,避免情绪反应和糟糕的决定,袭击者试图挑起.
我认为所有组织都应该考虑这个支付或不支付的决定, 组织的观点应该被记录下来. 对于一些, it may be that they would never pay; others might say they have to consider the impact against the cost of paying. 有时, 这是一个很容易的决定, 有时这是非常困难的, 但我认为对话应该现在就开始,而不是等到危机来临的时候.