勒索病毒:該不該付款了事? 勒索病毒:該不該付款了事?

作者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

7 分鐘 2020年6月10日
相關主題 諮詢服務 風險

針對可能的勒索病毒攻擊,全球各地的組織必須制定一套因應勒索病毒的付款政策。

之前幾篇文章中,我們討論過防禦以及從勒索病毒攻擊復原的方法。但也有許多客戶問到,如果我們考慮付款呢?這是可行的選項嗎?有什麼風險嗎?我們是否必須向監管機關、股東或大眾揭露?我們應該如何為這類決策進行準備?儘管安永不建議組織支付贖金,我們仍須承認確實存在此一選項。因此,我們針對該議題制定了這份簡要說明。但請注意,若遭到勒索病毒攻擊,在進行任何最終決策前,應先尋求法律諮詢、網路保險承保單位的建議、執法單位的意見,以及專業資訊安全專家的建議,以便採取適當行動。

勒索病毒是什麼?

勒索病毒是一種網路攻擊發動者用於封鎖系統或資料存取或使用的惡意軟體。該網路攻擊發動者綁架系統或資料,直到支付贖金。威脅發動者在取得網路的存取權後,他們將勒索病毒植入共享儲存硬碟與其他可進入的系統。若他們的要求未獲滿足,系統或加密資料會被持續封鎖,資料甚至可能被刪除。這些威脅發動者/團體近來的新興手法是滲透敏感資料,並威脅若不支付贖金,就會公開這些資料,進一步勒索受到攻擊的公司。

除了平常的IT基礎設施保護,我應該如何為勒索病毒事件進行準備?

  • 考慮購買網路安全與營運中斷保險。
  • 設置應對勒索病毒事件專業的常設網路安全應變小組。
  • 與內部或外部法律顧問以及網路安全保險承保單位進行磋商,針對贖金支付的選項建立企業政策(與合法性)。
  • 建立勒索病毒攻擊事件聯絡人清單,並確認擁有最新執法單位、外部法律顧問、保險承保單位、監管單位、投資人關係團隊等聯絡資訊。此應屬事故應變計畫的一部分,且應經常演習、檢討與更新該計畫。
  • 高階管理層的「桌上模擬演習」(TTX),針對付款或不付款的決策,制定時機、方法與條件等詳細規定有助於因應處理。在演習中,您創造類似的勒索病毒事故情況,然後針對事件發生時所需的決策進行壓力測試。
  • 若支付贖金是一個選項,規劃如何取得並支付加密貨幣(贖金通常以比特幣支付)。請注意,這通常由第三方負責進行。外部投資人關係與法律顧問會有偏好的第三方單位,保險公司也可能指定特定單位。
  • 評估從備份執行大規模復原的能力。但最好假設對方已滲透了您所知的最後一份備份。
    • 請注意,無論做何選擇、是否付款,都可能需要時間恢復正常營運。您應根據營運持續計畫,採取維持組織必要功能的措施。

無論做何選擇、是否付款,都可能需要時間恢復正常營運。您應根據營運持續計畫,採取維持組織必要功能的措施。

支付贖金前應考量哪些風險?

傳送勒索病毒是一門非法的「生意」,而且似乎付錢的一方多半能獲得解密金鑰,但支付贖金並不保證組織可取回資料。

支付贖金的決策應經過謹慎考慮,且必須了解並接受風險,且須與法律顧問、執法單位、網路保險承保單位與安全專家等不同利害關係人密切合作。

勒索病毒贖金支付決策過程

以下是來自美國聯邦調查局(FBI)的忠告

 

「FBI不提倡支付贖金,部分原因在於此舉無法保證組織能取回其資料。在一些案例中,付了贖金的受害者從未取得解密金鑰。此外,由於某些變種惡意軟體的加密演算法存在瑕疵,所以受害者即使取得有效的解密金鑰,資料也可能無法部分或全部復原。

支付贖金會讓犯罪者更大膽地鎖定其他組織,並讓自己成為其他犯罪者眼中的肥羊企業。不過,FBI瞭解當企業面臨無法正常運作的情況,高階主管為了保護其股東、員工與顧客,會評估所有選項。」 1

此外,無論由組織或保險公司支付贖金,都會引發付款是否構成資助犯罪團體、恐怖主義、流氓政權,以及/或違反洗錢防制(AML)法的疑慮。

儘管存在風險,一些人主張支付勒索病毒的贖金應被視為一個可行選項,並且應該如同其他商業決策般獲得評估(請參閱:Unconventional Wisdom: Explore Paying The Ransom In Parallel With Other Recovery OptionsJosh Zelonis ,Principal Analyst,Forester Research,2019年6月4日)。

勒索病毒攻擊平均為期12.1天2 ,,而公司或城市停擺數天需要付出很大的成本。如果採納大眾媒體的公開資訊,通常支付贖金看似是成本最低的選項,例如:

     
  • 亞特蘭大市在2018年3月受到SamSam勒索病毒攻擊,並拒絕支付51,000美元的贖金,結果無法避開加密資料進行工作,並花費了1,700萬美元重建其網路。
  • 巴爾的摩在2019年5月拒絕支付攻擊者要求的76,000美元,因此後來必須花費將近1,800萬美元重建其網路。 3
 

而諸如Forrester Research公司等專家,建議應衡量如復原能力、災難復原計畫諮詢成本,以及網路安全保險和保險是否涵蓋贖金等一切因素。其他考量因素應包括量化後的品牌聲譽損失、顧客滿意度預測,以及可能的法律責任。

真的有組織支付贖金嗎?

儘管我們難以找到統計資料,但的確有組織支付贖金。舉例來說,一篇由美聯社發布並於2019年6月20日刊登於《The Ledger》日報的文章標題就是 佛羅里達市同意支付60萬美元給駭客 :”

「佛羅里達州的一座城市同意支付60萬美元贖金給綁架其電腦系統的駭客。這是在全世界數千起用勒索病毒向政府機關與企業要求贖金的最新案例。

里維埃拉海灘市(Riviera Beach)市議會本週投票一致同意支付駭客的贖金要求;其認為棕櫚灘郊區別無選擇,如果他們想檢索這些被駭客加密過的資料檔案……

駭客顯然是在一名員工按下讓他們得以上傳惡意軟體的電子郵件連結時,侵入該城市的電腦系統。除了紀錄遭到加密,該城市還遭遇許多問題,包括電子郵件系統無法使用、無法直接存入帳戶而是用支票支付員工薪資與廠商貨款,以及911調度人員無法將來電輸入電腦。不過該市表示,緊急事件回應時間並無出現拖延。

發言人Rose Anne Brown在週三表示,這座人口達35,000人的城市已和外部安全顧問合作,而後者建議支付贖金。她坦承,無法保證駭客收到錢後會釋放那些紀錄,但贖金將獲得保險理賠。FBI在其網站表示,他們「不支持」付錢給駭客,但付錢的不只Riviera Beach市,許多政府機關與企業都願意付錢了事。但Rose Anne Brown表示,「我們是聽從他們(顧問)的建議。」

何為支付贖金的相關揭露規定?

我們很難回答有多少比率的企業選擇支付贖金,這主要是因為勒索病毒受害者不會報告或揭露勒索病毒事故。他們為何不揭露?勒索病毒攻擊通常涉及資料或系統遭到封鎖,但勒索病毒攻擊的相關通知責任,並不完全適用其他網路安全相關通知義務與誘因。4

真正該研究的問題是,單單未授權存取是否就足以向顧客進行通知。實際上,勒索病毒做的事情就是未授權存取;在未獲允許的狀況下存取您的個人可識別資訊。

個資外洩通知法規摘要5

  • 衛生保健

    HIPPA的個資外洩通知規定:適用的法人(醫院、保險公司)在發生受保護健康資訊(PHI)遭到未授權存取時,應通知顧客與美國衛生及公共服務部(HHS)。在勒索病毒個資外洩應變方面,此為最嚴格的聯邦消費者資料法規。

  • 消費金融銀行與放貸公司

    在GLBA下,聯邦交易委員會(FTC)透過安全保護規定(Safeguards Rule),執行消費金融資料保護規定。根據FTC,您的銀行或放貸公司若遭到勒索病毒(或任何其他惡意軟體)攻擊,他們不一定要發送通知。FTC建議這些金融公司向顧客發出警示,但這並非明確義務。

  • 證券經紀、經銷與投資顧問公司

    美國證券管理委員會(SEC)針對這些類型的投資公司擁有監管權。在GBLA下,SEC制定了名為「Regulation S-P」的規定,其內容的確呼籲制定個資外洩應變計畫。但並未明訂計畫內容需要包括個資外洩通知。換句話說,那是該做、但不一定要做的事情。

  • 投資銀行、國家銀行、私人銀行

    至於剩下的這些投資公司,美國聯準會與多個財政部單位聯合制定了自己的規定。在此規定下,這些公司應負保護資料不被未授權使用或存取的「積極責任」,而該責任包括通知。然而,附屬細則要求必須被判定為資料「濫用」才適用此規定。但勒索病毒的加密是否屬於資料濫用,並沒有明確的答案。無論如何,該規定清楚表示通知內容必須包括事故敘述以及被存取的資料。

  • 美國州法

    目前有48州制定消費者個資外洩通知法規。然而,僅紐澤西與康乃狄克兩州要求,只要個資被存取(因此涵蓋勒索病毒攻擊)就必須發出個資外洩通知。但附屬細則可能讓公司得以迴避向該州受到影響的消費者通報資料外洩。

  • 歐盟個資法

    資料保護指令(DPD)並未要求個資外洩通知。不過,德國等一些國家已在國家資料法納入個資外洩通知。(而受歐盟電子通訊隱私指令管轄的歐盟ISP與電信公司,已制定其個資外洩通報規定。)但在2018年生效的新歐盟一般資料保護規則(General Data Protection Regulation)有一條72小時規定,要求當「個人資料」被存取時,必須通知當地資料保護管轄單位(DPA)與消費者。然而,該規定具備傷害門檻:該個資外洩必須「導致消費者的權利與自由蒙受風險」。勒索病毒攻擊的通知將取決於特定狀況,而我們可能必須等待監管單位的進一步說明。

請注意,本文的用意僅作為一般資訊之用,請勿將之作為法律、會計、稅務或其他專業建議之用。

結語

支付贖金的決策應經過謹慎考慮,且必須瞭解與接受風險,並與不同利害關係人密切合作。應在事件發生之前即考量勒索病毒付款政策。我們強烈建議,組織與利害關係人針對該事故進行桌上模擬演習、預先制定替代方案、並練習計畫執行。這一切都至關重要,因為勒索病毒攻擊者已知曉其商業模型的限制,並開始不只加密資料,更滲透資料以防受害者決定利用備份復原。

關於本文章

作者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

相關主題 諮詢服務 風險