当HSE被击中了孔蒂的勒索攻击2021年5月,管理层面临着一个困境,许多企业会发现熟悉。他们是否应该支付要求的赎金以返回他们的数据?爱尔兰政府一直表示,其政策是不支付赎金,但据报道,在索要赎金后的几天内,未具名的 Oireachtas 成员支持与黑客进行谈判。
对于成为勒索软件攻击受害者的组织,几乎没有关于他们应该如何应对的指导。一些受害者选择支付,其他人协商降低费用,少数选择根本不支付。选择并不简单。
来自 RTÉ Radio 1 的 Today With Claire Byrne,HSE 前任总干事 Tony O'Brien 和公共采购和电子政务国务部长 Ossian Smyth 谈到勒索软件对 HSE 的攻击
自 2000 年代中期以来,攻击者加密数据或阻止对设备的访问并要求赎金以换取解密密钥的勒索软件攻击已变得普遍。攻击者的游戏目标是加密尽可能多的机器,目标是服务器和计算机,有时还包括备份数据。这些攻击最常使用“网络钓鱼垃圾邮件”:伪装成可信赖文件的电子邮件附件。勒索软件通常不会被检测到,直到它通过勒索信的方式呈现给用户,就像 HSE 的情况一样。
比特币是 99% 的勒索软件交易中使用的首选数字货币。付款是匿名的,很难追踪并且攻击者被抓住的风险很低。这使得勒索软件成为一种流行且低风险的商业模式。
HSE 攻击是越来越多的成功攻击无法承受任何服务中断或停机时间的组织的攻击之一,例如医院、金融或法律机构。拖延紧急患者护理或法律程序的风险迫使这些组织做出困难的、时间有限的决定,这通常会导致目标组织向攻击者支付高额赎金。虽然发起勒索软件攻击的行为属于刑事犯罪,但对于决定支付赎金或与攻击者协商较低金额的受害组织没有任何影响。组织可以自行决定是支付、不支付还是与攻击者谈判。
来自 RTÉ 六一新闻,HSE 首席执行官 Paul Reid 谈到网络攻击的成本可能会超过 1 亿欧元
服务或数据仍然无法访问的时间(称为停机时间)通常是组织试图决定支付、不支付或协商的关键考虑因素。平均而言,停机时间为 23 天,平均勒索软件支付目前为 220,298 美元。如果由于决定不支付初始赎金而延长了停机时间,则攻击的总体成本可能会增加。例如,一项研究表明,修复勒索软件的平均费用(包括停机时间、设备和网络成本、失去的机会和支付的赎金)平均为 127 万美元。
当索要赎金且恢复的总成本达到数百万时,组织选择支付赎金也就不足为奇了,因为这似乎是明确的选择。然而,问题的症结在于,支付赎金并不能保证对数据或设备的访问会被返回。它也不保证操作会立即恢复正常。在某些情况下,付款后,通过错误的解密密钥,数据已被删除、损坏。在某些情况下,解密密钥从一开始就不存在,文件仍然无法恢复。4% 支付了巨额赎金的组织被无法恢复的文件自掏腰包。
如果没有及时付款,组织还必须考虑攻击者泄露受害者数据的增长趋势。这似乎发生在 HSE 攻击中,许多勒索软件组织现在托管自己的站点以发布被盗数据。卫生部长斯蒂芬·唐纳利(Stephen Donnelly)表示,“政府没有直接、间接、通过任何其他方或以任何其他方式支付赎金。也不会支付任何此类赎金。”
来自 RTÉ Nine News,卫生部长斯蒂芬唐纳利说,国家没有为解密密钥支付赎金
我们可以就部长为何采取这种立场做出一些假设。首先,支付赎金会助长网络犯罪。赎金可以投资于新软件,以发起更复杂的勒索软件攻击或资助其他邪恶活动,如有组织犯罪或恐怖主义。第二个假设是,决定付费的组织有助于提高网络安全保护以防止未来的攻击。
另一个假设是基于这样一个事实,即向攻击者确认勒索软件商业模式有效,这可能会鼓励他们发起更多攻击。支付还向攻击者表明,来自同一行业的类似组织也可能愿意支付。
考虑到这一点,支付通常不符合所有相关人员的长期利益。然而,在 HSE 的情况下,健康和生命实际上处于危险之中,短期利益至关重要。HSE 还必须适当处理数据泄漏的影响,这可能代价高昂并损害声誉。
来自 RTÉ One 的 Claire Byrne Live,与网络罪犯谈判是什么感觉?
谈判是直接付款或不付款的另一种选择。有趣的是,尝试与勒索软件攻击者协商更低的价格实际上可能会奏效。F-Secure发现,组织可以通过与攻击者协商,在原始金额的基础上讨价还价,平均折扣为 27%。
谈判的一个缺点是它会导致与直接支付相同的负面强化,因为金钱是与网络犯罪分子交换的。协商还会延长停机时间并增加恢复成本。如果受影响的组织无意付款,他们仍然可以开始谈判谈判,因为它可以争取时间与执法部门接触。
如果 HSE 决定支付赎金,则有一些优势。例如,如果存在有效的解密密钥,并且攻击者在收到付款后提供它,则停机时间将最短(大约 23 天)。员工和供应商的正常工作条件可能会恢复,最重要的是,患者可以获得服务。
虽然 HSE 的代表公开宣布原则上不会支付赎金,但最新的新闻报道询问为什么攻击者在没有支付的情况下提供了解密密钥。为响应付款、延迟付款或不付款而发布 HSE 数据可能会对爱尔兰患者和 HSE 造成极大损害,同时还会根据《通用数据保护条例》(GDPR)对 HSE 处以罚款。正如一个犯罪集团发布的那样,“GDPR。不想付钱给我们——多付 10 倍给政府。没问题。”
