數(shù)據(jù)顯示，2021年勒索軟件威脅達(dá)到了前所未有的水平，在多數(shù)情況下，攻擊者要求的贖金已高達(dá)數(shù)百萬美元。然而，以勒索軟件為代表的網(wǎng)絡(luò)攻擊，給受害企業(yè)造成的實際損害(包括收入損失)可能遠(yuǎn)超贖金金額。對于大多數(shù)私營企業(yè)而言，勒索軟件攻擊的實際損失，甚至攻擊事件本身都被有意或無意的隱瞞起來。

為了更好地向投資者通報上市公司的風(fēng)險管理、戰(zhàn)略和治理，并及時向投資者通報重大網(wǎng)絡(luò)安全事件。美國證券交易委員會(即U.S. Securities and Exchange Commission，以下簡稱SEC)企業(yè)財務(wù)部門在2011年，就首次頒布關(guān)于披露網(wǎng)絡(luò)安全風(fēng)險和突發(fā)事件的指導(dǎo)原則。2022年3月9日， SEC再次公布新版規(guī)定征求意見稿，進(jìn)一步加強要求上市公司關(guān)于網(wǎng)絡(luò)安全風(fēng)險管理、戰(zhàn)略、治理和事件報告的披露，并使之標(biāo)準(zhǔn)化，其中明確了上市公司信息安全事件應(yīng)在4天內(nèi)披露。

新規(guī)要求上市公司在8-K表格中報告重??絡(luò)安全事件的最新情況，并定期披露以下信息：

• 上市公司識別和管理網(wǎng)絡(luò)安全風(fēng)險的政策和程序;
• 公司管理層在實施網(wǎng)絡(luò)安全政策和程序中的作用;
• 公司董事會的網(wǎng)絡(luò)安全專業(yè)認(rèn)知程度及其對網(wǎng)絡(luò)安全風(fēng)險的監(jiān)督能力;
• 以往報告的網(wǎng)絡(luò)安全事件的處置狀況。

通過檢索SEC公布的8-K文件，我們發(fā)現(xiàn)，在2020年和2021年期間，30家上市公司報告了勒索軟件事件、勒索軟件相關(guān)費用或勒索軟件相關(guān)的保險報銷。雖然大多數(shù)此類披露文件都認(rèn)為勒索軟件攻擊影響有限，或缺乏財務(wù)數(shù)據(jù)來證明處理此類事件所耗費的成本，但仍有7份披露文件中包含足夠的成本數(shù)據(jù)，可以揭示勒索軟件事件的成本究竟有多高。

以下是披露了勒索軟件事件及其成本數(shù)據(jù)的七家企業(yè)：

1. 辛克萊(Sinclair)廣播集團(tuán)

該公司在報告中稱，它于2021年10月遭遇了勒索軟件攻擊事件。不過，它并未支付贖金，而是從備份中成功恢復(fù)了網(wǎng)絡(luò)，但勒索軟件造成的中斷還是為其帶來了收入損失和其他成本支出。

數(shù)據(jù)顯示，該事件導(dǎo)致辛克萊第四季度廣播部門的廣告收入損失6300萬美元，補救成本為1100萬美元。經(jīng)過保險賠償后，該公司預(yù)估仍將面臨大約2400萬美元無可挽回的凈損失。但是，由于恢復(fù)的細(xì)節(jié)仍不確定，該預(yù)估成本可能還會增加。

2. Blackbaud

2020年5月，云技術(shù)公司Blackbaud遭遇勒索軟件攻擊，雖然它成功阻止了攻擊者的攻擊，并最終將攻擊者從其系統(tǒng)中驅(qū)逐了出去。然而，攻擊者還是成功從其自托管的私有云環(huán)境中竊取了一部分?jǐn)?shù)據(jù)的副本，Blackbaud最終支付了贖金。

在獲得大約940萬美元的保險賠償后，Blackbaud仍將面臨與安全事件相關(guān)的1040萬美元成本損失。而且事件發(fā)生后，Blackbaud收到了大約570份客戶訴訟，要求其就該事件做出相應(yīng)的報銷理賠。2021年7月，法院允許這些訴訟繼續(xù)進(jìn)行。2022年2月，Blackbaud簽訂了一項信貸協(xié)議，其中涉及數(shù)據(jù)泄露和勒索軟件攻擊相關(guān)的非經(jīng)常性法律費用支出高達(dá)5000萬美元。

3. WestRock

美國瓦楞紙包裝公司W(wǎng)estRock于2021年1月23日遭到勒索軟件攻擊，致使其IT和運營技術(shù)系統(tǒng)中斷。該公司表示，2021年第二季度銷售和運營中斷對凈銷售額和部門收入的影響分別為1.89億美元和8000萬美元。

WestRock還表示，此次攻擊事件還產(chǎn)生了大約2000萬美元的勒索軟件恢復(fù)成本。對于這部分損失，WestRock計劃將來從網(wǎng)絡(luò)和業(yè)務(wù)中斷保險中贖回。

4. Radiant Logistics

2021年12月8日，這家物流和多式聯(lián)運公司遭受了勒索軟件攻擊，影響了其運營和IT系統(tǒng)。Radiant表示，該事件使其12月份收入遭受損失并增加了成本，預(yù)計將對公司2022財年第二季度的業(yè)績產(chǎn)生不利影響。

該公司稱，在將系統(tǒng)脫機之前，攻擊者已從企業(yè)服務(wù)器上提取了與客戶和員工相關(guān)的部分?jǐn)?shù)據(jù)。對此，它正在積極地與那些可能受到此事影響的受害者溝通。Radiant在詳細(xì)介紹其2021年全年財務(wù)狀況時表示，它在12月期間產(chǎn)生了750,000美元的勒索軟件相關(guān)事件成本，其中包括第三方取證和其他IT專業(yè)費用、法律費用以及增加的加班費和員工相關(guān)費用。

5. Mineral Technologies

Mineral Technologies公司于2020年10月26日遭受了Egregor勒索軟件攻擊。該公司表示，此次勒索軟件攻擊對其造成了400萬美元的系統(tǒng)恢復(fù)成本和風(fēng)險緩解費用。

6. Benchmark Electronics

這家電子工程公司最初于2019年11月5日報告了勒索軟件攻擊事件，此次事件影響了客戶和員工對公司系統(tǒng)和服務(wù)的訪問。這起事件迫使Benchmark在2019財年支付了7,681,000美元的相關(guān)費用。到2021年底，該公司又收回了3,989,000美元，大概是來自保險報銷。

7. Faneuil

ALJ Regional的子公司Faneuil是一家業(yè)務(wù)流程外包解決方案提供商。它于2021年8月18日檢測到勒索軟件攻擊。之后，F(xiàn)aneuil展開調(diào)查并聘請了法律顧問和其他事件響應(yīng)專業(yè)人員，實施了一系列遏制和補救措施來應(yīng)對這一情況，并借助網(wǎng)絡(luò)安全專業(yè)公司的力量加強其信息技術(shù)系統(tǒng)的安全性。

由于該事件，F(xiàn)aneuil產(chǎn)生了大約280萬美元的成本損失和罰款。不過，F(xiàn)aneuil獲得了190萬美元的保險追償應(yīng)收賬款。目前，該公司已經(jīng)收到了130萬美元，剩余的保險收益預(yù)計將在2022年3月31日之前發(fā)放。

參考鏈接：https://www.csoonline.com/article/3654293/sec-filings-show-hidden-ransomware-costs-and-losses.html