上市公司財報披露勒索軟件成本
2021年,勒索軟件禍害直沖前所未有的高度,勒索軟件攻擊團伙往往索要數百萬美元之巨的贖金,并且很多時候都能得逞。去年6月,全球最大肉類加工企業JBS證實,因勒索軟件干擾運營,已向攻擊者支付相當于1100萬美元的贖金。
2021年5月,Colonial Pipeline給勒索軟件攻擊者打錢443萬美元,不過,在隨后的行動中,美國司法部(DOJ)沒收了其中230萬美元。同樣是在5月,因遭受Conti勒索軟件滋擾,備份設備供應商ExaGrid向網絡犯罪團伙支付了260萬美元贖金。
但是,贖金什么的,在收入損失等勒索軟件攻擊造成的實際成本面前,還只算得上小巫見大巫。對于大多數私營公司而言,勒索軟件攻擊的成本,甚至攻擊本身,都可以隱而不現,這也是上周立法規定所有公司都必須報告贖金支付情況的緣由所在。
另一方面,上市公司則有義務向美國證券交易委員會(SEC)報告對其運營造成實際影響的任何網絡事件,包括勒索軟件攻擊。在SEC注冊的大多數上市企業通過填報8-K報表來履行這一義務。(注意:SEC正在制定計劃,要求所有上市公司:一旦注冊人確定公司經歷了重大網絡安全事件,必須在四天內上報SEC。)
網絡安全媒體CSO仔細查閱SEC的8-K文件之后發現,2020年和2021年期間,有30家上市公司報告了勒索軟件事件、支付了勒索軟件相關費用,或者收到勒索軟件相關的保險賠償。盡管這些文件大多認定勒索軟件攻擊非重大級別,或者缺乏詳細說明事件處理成本所需的財務數據,但有七份文件記錄了足夠的成本數據,可供一窺勒索軟件事件的成本可能有多高。
七個相關案例簡述
1. Sinclair Broadcast Group:這家媒體和廣播巨頭報告稱2021年10月遭遇了勒索軟件事件。Sinclair表示自己并未支付贖金,能夠依靠備份恢復網絡,但發生的一些中斷影響了收入和費用。該事件導致廣播部門第四季度廣告收入損失6300萬美元,修復成本為1100萬美元。得到保險賠償后,該公司估算此次網絡事件造成大約2400萬美元無法挽回的凈損失。不過,由于恢復細節仍未確定,這一估計數據可能還會增加。
2. Blackbaud, Inc:2020年5月,云技術公司Blackbaud遭到勒索軟件攻擊,但該公司成功阻止了攻擊者中斷其系統訪問,并粉碎了攻擊者完全加密其文件的意圖,最終將攻擊者從其系統中驅逐了出去。然而,攻擊者刪除了其自托管私有云環境中的部分數據副本,Blackbaud還是不得不支付了攻擊者索要的贖金。
2020年,Blackbaud的安全事件相關費用為1040萬美元,抵消了940萬美元的保險賠償。來自客戶或律師的事件相關費用報銷索賠大約有570份。2021年7月,法院批準這些訴訟繼續進行。2022年2月,Blackbaud簽訂了一份信貸協議,預計與數據泄露和勒索軟件攻擊相關的非經常性法律費用高達5000萬美元。
3. WestRock Company:2021年1月23日,這家差異化紙張與包裝解決方案提供商遭到勒索軟件攻擊,致使IT和運營技術系統中斷。該公司聲稱,2021年第二季度的銷售損失和運營中斷造成凈銷售額減少1.89億美元,部門收入減少8000萬美元。WestRock還表示,事件產生了大約2000萬美元的勒索軟件恢復成本,主要是支付專業費用。WestRock預計未來將通過網絡和業務中斷保險挽回勒索軟件損失。
4. Radiant Logistics:2021年12月8日,這家物流和多式聯運公司遭到勒索軟件攻擊,運營和IT系統受損。Radiant表示,該事件導致公司12月份營收損失和成本增加,預計將對公司2022財年第二季度的業績產生不利影響。
該公司指出,在公司下線各個系統之前,攻擊者從公司服務器上提取了其客戶和員工的相關數據。公司正積極聯系可能受這些事件影響的用戶。在詳細介紹其2021年全年財務數據時,Radiant表示,12月勒索軟件相關事件成本為75萬美元,其中包括第三方取證專家和其他IT專業費用、法律費用以及增加的加班費和員工相關費用。
5. Mineral Technologies:2020年10月26日,這家礦物技術公司遭到Egregor勒索軟件攻擊。Mineral表示,2020財年遭遇勒索軟件攻擊后,公司在系統恢復和風險緩解方面產生了400萬美元的費用。
6. Benchmark Electronics:這家電子工程公司最初于2019年11月5日報告稱遭到勒索軟件攻擊,攻擊導致客戶和員工一度無法訪問其系統和服務。受攻擊影響,該公司2019財年支付了768.1萬美元的勒索軟件事件相關費用。到2021年底,大概是獲得了保險賠償,Benchmark Electronics補上了其中398.9萬美元。
7. Faneuil:身為ALJ Regional的子公司,這家業務流程外包解決方案提供商于2021年8月18日檢測到勒索軟件攻擊。Faneuil展開調查并聘請法律顧問和其他事件響應專業人員,實施了一系列遏制和補救措施來緩解事態,并通過主流網絡安全公司加強其信息技術系統安全。受此事件影響,Faneuil付出了大約280萬美元的費用和罰款。Faneuil確認應獲得190萬美元保險追償,目前收到130萬美元保險賠付。余下的保險賠償款預計在2022年3月31日之前付清。
勒索軟件緩解過程矯正技術債務
Recorded Future情報分析師Allan Liska向媒體透露:“恢復過程中有很多我們通常考慮不到的費用。只要不打算不支付贖金,就必須恢復所有機器。因此,你得準備好面對事件響應開支和隨之而來的一切費用。你覺得這可能就是幾百萬美元。但是,除此之外,應該計入其中的費用還有很多,比如Blackbaud遭遇的巨額法律費用。”
Liska補充道:“另一項應該計入勒索軟件恢復費用的大筆開支,是勒索軟件緩解過程中補上的技術債務:那些應該實現但卻擱置多年的項目。我們兩年前就應該實現多因素身份驗證了。現在,經歷勒索軟件攻擊之后,我們總算能開工了。經歷勒索軟件攻擊之后開放安全預算幾乎成了常規,而這些錢勢必來自別的地方,不屬于原先的安全預算。于是,跟乾坤大挪移似的,最終算成了勒索軟件費用。”
參考閱讀
