受到勒索软件攻击的个人和企业数量每年都在急剧增长,如何采取合法、快速且有效地做出积极响应和应对措施是当务之急。由于来自攻击者的威胁、要求在短时间内付款、担心影响公司估值或吓跑客户,许多企业或机构会向勒索者妥协。虽然勒索软件问题通常被认为是一种网络安全的挑战,但这也逐渐发展为数据隐私的问题。
勒索软件团伙越来越多地部署“双重勒索”计划,不仅会加密数据,将企业锁定在自己的文件和系统之外,还会二次泄露数据进行交易。虽然预防是先决条件,但企业做好了防范勒索软件的准备,也必须考虑如果受到攻击威胁作何应对。以下是一些管理者的思考,以美国为例:
法律上的要求
美国法律目前并未强制要求全面报告勒索软件攻击,但是,上市公司需要就一系列问题向美国证券交易委员会提交定期报告,包括业务的重大风险。GLBA 指南指出,当事件涉及“未经授权访问或使用敏感客户信息”时,企业或者机构应通知其主要联邦监管机构,并在“确定已发生或合理地使用其客户信息时通知客户”。
在美国境外运营时,企业也必须根据每个司法管辖区的规则针对具体情况进行评估。例如,在欧盟,GDPR(《通用数据保护条例》)要求在安全漏洞导致“意外或非法破坏、丢失、更改、未经授权的披露或访问个人数据”时发出通知,确保不会对自然人的权利和自由造成风险。” 无论是否涉及个人信息,欧盟关于网络和信息系统安全的指令都要求重要实体的运营商报告对其提供的基本服务的连续性产生重大影响的事件。
支付的合法性和有效性
在攻击发生后,企业领导人需要确定他们是否能够并且应该支付所要求的赎金。他们将面临许多问题和决策。
· 支付赎金后数据确定不会二次泄露吗?攻击者的跟踪记录是否会提供一个可行的解密密钥?(联邦调查局表示一般不能保证。)
· 支付赎金和从备份中恢复数据哪个是最有效和最具成本效益的恢复方式?
· 付费后会纵容攻击者将来对更多企业或个人进行攻击吗?
· 客户、股东或其他利益相关方如何看待支付赎金(如果披露或发现)?
这些决策中的每一个问题都很重要,但几乎所有公司都会困惑的问题是:
给攻击者付费合法吗?
在美国,支付赎金在大多数情况下默认合法,但美国政府对此表示反对。OFAC于 2020 年末发布了一份咨询报告,警告公司与有意或无意违反 OFAC 法规相关的风险和责任。
然而,美国官员这样解释:虽然不鼓励这样做,是否支付仍然是基于上述因素及许多其他因素的商业决定。事实上,在 2021 年 7 月的参议院司法委员会听证会上,联邦调查局网络部建议立法者不要采取勒索软件支付禁令,并解释说这可能会使公司因隐瞒非法支付信息而受到进一步勒索。
建议方案
当攻击发生时,企业必须做好及时响应的准备。业务领导者应该对响应和恢复计划、注意事项和决策点有一个大致的了解。美国网络安全基础设施安全局提供勒索应急响应的建议:
01、网络保险已成为必需品,决策者应该了解他们对所有潜在成本的覆盖范围,包括系统停机、业务中断、必要的通知或信用监控、潜在的赎金支付以及可能导致的任何诉讼。保险公司可能会提供一份网络安全公司名单,组织可以从中选择指导他们进行评估、响应和恢复。如果需要,提前确定要合作的公司可以帮助缩短响应时间。
02、企业应确定一个快速响应团队,并在攻击之前制定内部和外部沟通策略。响应团队可能包括首席执行官、技术官、财务官、隐私官、运营官、人力资源官、通讯官、总法律顾问以及在某个阶段的董事会等。企业的勒索软件手册应包括紧急电话号码,以防电子邮件系统被锁定且联系信息无法访问。
03、选定的网络安全公司可以与内部 IT 团队合作,进行范围广泛、执行迅速的评估,以帮助企业做出有关如何最好地恢复运营的决策。他们可以评估攻击的影响和性质、受影响的系统、数据类型和文件、数据是否被访问或泄露,以及攻击者的历史和复杂程度。通过支付解密赎金,他们还可以帮助业务领导者将备份恢复的可行性、速度和成本与恢复的成本、可行性和可靠性进行比较。一些网络安全公司可以代表企业帮助协商支付赎金,协助进行加密货币支付,并在解密文件时优化密钥的效率。
04、企业应仔细记录其评估、响应和恢复步骤。该文件将有助于为必要的报告、通知、执法或监管审查、保险追偿和未来准备提供信息。
虽然这篇文章以美国为例,但包括法国和澳大利亚在内的其他国家也正在积极考虑勒索软件支付禁令或支付披露要求。由于这种快速变化的格局,企业需要仔细考虑其经营所在司法管辖区的现行规则。我们中国地区则需考虑现行的《网络安全法》《数据安全法》等。
对于企业来说数据合规和隐私保护是一场博弈,数据安全需求关注热度急剧升高,同时作为安全从业者也应当多做思考,扩大自己在数据安全领域的知识体系,或许可以通过学习国际上的数据隐私安全的相关认证培训进行提升。
添加微信了解相关认证
发表评论
您还未登录,请先登录。
登录