企业遭受勒索攻击后,要支付赎金吗?
针对这个问题的答案,一些企业选择了“不要”。例如:意大利法拉利公司拒绝向黑客支付赎金;蔚来汽车老板拒绝支付1500万的赎金;澳洲最大医保公司在被盗取970万客户信息后,拒绝向黑客付赎金......
据2022 年第二季度勒索软件统计数据显示,受害者向黑客支付赎金的比例和赎金数额正在下降,这一趋势自 2021 年第四季度以来一直在持续。而且,还出现了一种新的趋势,当勒索软件集团要求巨额赎金时,大型组织往往拒绝考虑谈判。
为什么越来越多企业在遭受勒索软件攻击后,拒绝向黑客支付赎金?
越来越多的企业在遭受勒索软件攻击后拒绝向黑客支付赎金,主要有以下几种原因:
拒绝合作。部分企业出于道义考量,拒绝与勒索软件黑客进行任何形式的合作与交易。他们认为,付款会鼓励黑客进行更多攻击,这违背企业的道德准则。
例如,当时的蔚来汽车就表示,不会向网络犯罪行为低头,将协助有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。
保留数据备份。这类企业拥有完整的数据备份,遭受勒索软件攻击后能够快速恢复系统和数据。所以,付款没有必要且不划算。
技术手段较强。某些企业具有较强的网络安全技术和应急响应能力。他们能够在发现勒索软件攻击后迅速中和病毒,屏蔽漏洞并修复系统,用不着支付赎金。
担心上当。黑客不一定在收到赎金后提供解密密钥,企业担心付款后仍无法解锁系统和数据。所以,选择不付为佳。
法律风险。在一些国家和地区,向黑客付款可能会面临法律追责,被视为资助网络犯罪。企业出于规避法律风险的考量,选择不向黑客付款。
例如,美国财政部曾制裁了一家加密货币交易所,因为该机构在促进勒索软件支付方面发挥了重要作用,并向进行此类支付的企业发出了警告,并指出它们可能面临制裁风险。
成本考量。勒索软件的赎金金额可能高昂,超出企业可以接受的范畴。在权衡成本损失后,企业会选择自行恢复系统而非支付赎金。
公关策略。少数企业拒绝向黑客付款,是为了维护强硬的网络安全形象。他们希望在公共关系上体现出不向黑客屈服,不会被威胁的姿态。这有利于树立企业的安全信誉。
但是,在云计算网络检测和响应提供商ExtraHop公司发布的《2023年全球网络信心指数报告》中却指出,从2021年到2022年,勒索软件攻击的平均次数不仅从4次增加到5次,而且83%的受害方至少支付了一次赎金。
报告发现,尽管像美国联邦调查局和信息系统审计与控制协会(ISACA)这样的政府部门反对支付赎金,但许多企业决定承担支付赎金的成本,平均金额为925162美元,而不是承受进一步的运营中断和数据丢失的损失。
ExtraHop公司高级技术经理Jamie Moles表示,遭到勒索软件攻击的企业之所以支付赎金,是因为他们认为这是恢复业务最快、最简单的途径。
Moles表示,与此同时,许多网络攻击团伙主要采用的双重勒索手段包括在加密数据之前窃取数据,并威胁受害方支付赎金,否则将其数据发布在互联网上,从而给他们施加了额外的压力,迫使他们支付赎金。
一方面,是越来越多企业拒绝向攻击者支付赎金,甚至一些国家还会制裁向攻击者支付赎金的企业;另一方面,却是调查表明83%的企业在遭受勒索软件攻击后至少支付了一次赎金。
那么,企业在遭受勒索软件攻击后,到底要不要支付赎金呢?
事实上,拒绝向勒索软件黑客付款,是越来越多企业采取的明智之举。但是这需要企业具备一定的技术手段和应急能力,并在成本、法律和形象等方面进行全面考量。可并不是所有企业都能做到这些、直接说“不”的。而只有在生存受到严重威胁时,付款才会成为抉择。
简言之,企业在面临勒索软件攻击时,是否支付赎金是一个复杂的决定。这需要在数据价值、成本损失、安全考虑、法律风险与企业形象间进行权衡。总之,尽可能不付为佳,这可以促使企业加强安全建设与改进应对措施。但如果数据对生存至关重要而备份又无法恢复,付款不失为最后的选择。