無論做何選擇、是否付款,都可能需要時間恢復正常營運。您應根據營運持續計畫,採取維持組織必要功能的措施。
支付贖金前應考量哪些風險?
傳送勒索病毒是一門非法的「生意」,而且似乎付錢的一方多半能獲得解密金鑰,但支付贖金並不保證組織可取回資料。
支付贖金的決策應經過謹慎考慮,且必須了解並接受風險,且須與法律顧問、執法單位、網路保險承保單位與安全專家等不同利害關係人密切合作。
以下是來自美國聯邦調查局(FBI)的忠告
「FBI不提倡支付贖金,部分原因在於此舉無法保證組織能取回其資料。在一些案例中,付了贖金的受害者從未取得解密金鑰。此外,由於某些變種惡意軟體的加密演算法存在瑕疵,所以受害者即使取得有效的解密金鑰,資料也可能無法部分或全部復原。
支付贖金會讓犯罪者更大膽地鎖定其他組織,並讓自己成為其他犯罪者眼中的肥羊企業。不過,FBI瞭解當企業面臨無法正常運作的情況,高階主管為了保護其股東、員工與顧客,會評估所有選項。」 1
此外,無論由組織或保險公司支付贖金,都會引發付款是否構成資助犯罪團體、恐怖主義、流氓政權,以及/或違反洗錢防制(AML)法的疑慮。
儘管存在風險,一些人主張支付勒索病毒的贖金應被視為一個可行選項,並且應該如同其他商業決策般獲得評估(請參閱:Unconventional Wisdom: Explore Paying The Ransom In Parallel With Other Recovery Options , Josh Zelonis ,Principal Analyst,Forester Research,2019年6月4日)。
勒索病毒攻擊平均為期12.1天2 ,,而公司或城市停擺數天需要付出很大的成本。如果採納大眾媒體的公開資訊,通常支付贖金看似是成本最低的選項,例如:
- 亞特蘭大市在2018年3月受到SamSam勒索病毒攻擊,並拒絕支付51,000美元的贖金,結果無法避開加密資料進行工作,並花費了1,700萬美元重建其網路。
- 巴爾的摩在2019年5月拒絕支付攻擊者要求的76,000美元,因此後來必須花費將近1,800萬美元重建其網路。 3
而諸如Forrester Research公司等專家,建議應衡量如復原能力、災難復原計畫諮詢成本,以及網路安全保險和保險是否涵蓋贖金等一切因素。其他考量因素應包括量化後的品牌聲譽損失、顧客滿意度預測,以及可能的法律責任。
真的有組織支付贖金嗎?
儘管我們難以找到統計資料,但的確有組織支付贖金。舉例來說,一篇由美聯社發布並於2019年6月20日刊登於《The Ledger》日報的文章標題就是 佛羅里達市同意支付60萬美元給駭客 :”
「佛羅里達州的一座城市同意支付60萬美元贖金給綁架其電腦系統的駭客。這是在全世界數千起用勒索病毒向政府機關與企業要求贖金的最新案例。
里維埃拉海灘市(Riviera Beach)市議會本週投票一致同意支付駭客的贖金要求;其認為棕櫚灘郊區別無選擇,如果他們想檢索這些被駭客加密過的資料檔案……
駭客顯然是在一名員工按下讓他們得以上傳惡意軟體的電子郵件連結時,侵入該城市的電腦系統。除了紀錄遭到加密,該城市還遭遇許多問題,包括電子郵件系統無法使用、無法直接存入帳戶而是用支票支付員工薪資與廠商貨款,以及911調度人員無法將來電輸入電腦。不過該市表示,緊急事件回應時間並無出現拖延。
發言人Rose Anne Brown在週三表示,這座人口達35,000人的城市已和外部安全顧問合作,而後者建議支付贖金。她坦承,無法保證駭客收到錢後會釋放那些紀錄,但贖金將獲得保險理賠。FBI在其網站表示,他們「不支持」付錢給駭客,但付錢的不只Riviera Beach市,許多政府機關與企業都願意付錢了事。但Rose Anne Brown表示,「我們是聽從他們(顧問)的建議。」
何為支付贖金的相關揭露規定?
我們很難回答有多少比率的企業選擇支付贖金,這主要是因為勒索病毒受害者不會報告或揭露勒索病毒事故。他們為何不揭露?勒索病毒攻擊通常涉及資料或系統遭到封鎖,但勒索病毒攻擊的相關通知責任,並不完全適用其他網路安全相關通知義務與誘因。4
真正該研究的問題是,單單未授權存取是否就足以向顧客進行通知。實際上,勒索病毒做的事情就是未授權存取;在未獲允許的狀況下存取您的個人可識別資訊。
個資外洩通知法規摘要5
請注意,本文的用意僅作為一般資訊之用,請勿將之作為法律、會計、稅務或其他專業建議之用。
結語
支付贖金的決策應經過謹慎考慮,且必須瞭解與接受風險,並與不同利害關係人密切合作。應在事件發生之前即考量勒索病毒付款政策。我們強烈建議,組織與利害關係人針對該事故進行桌上模擬演習、預先制定替代方案、並練習計畫執行。這一切都至關重要,因為勒索病毒攻擊者已知曉其商業模型的限制,並開始不只加密資料,更滲透資料以防受害者決定利用備份復原。
