美國證交會強化要求網絡安全風險事件披露

數據顯示，2021年勒索軟件威脅達到了前所未有的水平，在多數情況下，攻擊者要求的贖金已高達數百萬美元。然而，以勒索軟件為代表的網絡攻擊，給受害企業造成的實際損害（包括收入損失）可能遠超贖金金額。對于大多數私營企業而言，勒索軟件攻擊的實際損失，甚至攻擊事件本身都被有意或無意的隱瞞起來。

為了更好地向投資者通報上市公司的風險管理、戰略和治理，并及時向投資者通報重大網絡安全事件。美國證券交易委員會（即U.S. Securities and Exchange Commission，以下簡稱SEC）企業財務部門在2011年，就首次頒布關于披露網絡安全風險和突發事件的指導原則。2022年3月9日， SEC再次公布新版規定征求意見稿，進一步加強要求上市公司關于網絡安全風險管理、戰略、治理和事件報告的披露，并使之標準化，其中明確了上市公司信息安全事件應在4天內披露。

新規要求上市公司在8-K表格中報告重??絡安全事件的最新情況，并定期披露以下信息：上市公司識別和管理網絡安全風險的政策和程序；

公司管理層在實施網絡安全政策和程序中的作用；

公司董事會的網絡安全專業認知程度及其對網絡安全風險的監督能力；

以往報告的網絡安全事件的處置狀況。

通過檢索SEC公布的8-K文件，我們發現，在2020年和2021年期間，30家上市公司報告了勒索軟件事件、勒索軟件相關費用或勒索軟件相關的保險報銷。雖然大多數此類披露文件都認為勒索軟件攻擊影響有限，或缺乏財務數據來證明處理此類事件所耗費的成本，但仍有7份披露文件中包含足夠的成本數據，可以揭示勒索軟件事件的成本究竟有多高。

以下是披露了勒索軟件事件及其成本數據的7家企業：

01辛克萊（Sinclair）廣播集團

該公司在報告中稱，它于2021年10月遭遇了勒索軟件攻擊事件。不過，它并未支付贖金，而是從備份中成功恢復了網絡，但勒索軟件造成的中斷還是為其帶來了收入損失和其他成本支出。

數據顯示，該事件導致辛克萊第四季度廣播部門的廣告收入損失6300萬美元，補救成本為1100萬美元。經過保險賠償后，該公司預估仍將面臨大約2400萬美元無可挽回的凈損失。但是，由于恢復的細節仍不確定，該預估成本可能還會增加。

02Blackbaud

2020年5月，云技術公司Blackbaud遭遇勒索軟件攻擊，雖然它成功阻止了攻擊者的攻擊，并最終將攻擊者從其系統中驅逐了出去。然而，攻擊者還是成功從其自托管的私有云環境中竊取了一部分數據的副本，Blackbaud最終支付了贖金。

在獲得大約940萬美元的保險賠償后，Blackbaud仍將面臨與安全事件相關的1040萬美元成本損失。而且事件發生后，Blackbaud收到了大約570份客戶訴訟，要求其就該事件做出相應的報銷理賠。2021年7月，法院允許這些訴訟繼續進行。2022年2月，Blackbaud簽訂了一項信貸協議，其中涉及數據泄露和勒索軟件攻擊相關的非經常性法律費用支出高達5000萬美元。

03WestRock

美國瓦楞紙包裝公司WestRock于2021年1月23日遭到勒索軟件攻擊，致使其IT和運營技術系統中斷。該公司表示，2021年第二季度銷售和運營中斷對凈銷售額和部門收入的影響分別為1.89億美元和8000萬美元。

WestRock還表示，此次攻擊事件還產生了大約2000萬美元的勒索軟件恢復成本。對于這部分損失，WestRock計劃將來從網絡和業務中斷保險中贖回。

04Radiant Logistics

2021年12月8日，這家物流和多式聯運公司遭受了勒索軟件攻擊，影響了其運營和IT系統。Radiant表示，該事件使其12月份收入遭受損失并增加了成本，預計將對公司2022財年第二季度的業績產生不利影響。

該公司稱，在將系統脫機之前，攻擊者已從企業服務器上提取了與客戶和員工相關的部分數據。對此，它正在積極地與那些可能受到此事影響的受害者溝通。Radiant在詳細介紹其2021年全年財務狀況時表示，它在12月期間產生了750,000美元的勒索軟件相關事件成本，其中包括第三方取證和其他IT專業費用、法律費用以及增加的加班費和員工相關費用。

05Mineral Technologies

Mineral Technologies公司于2020年10月26日遭受了Egregor勒索軟件攻擊。該公司表示，此次勒索軟件攻擊對其造成了400萬美元的系統恢復成本和風險緩解費用。

06Benchmark Electronics

這家電子工程公司最初于2019年11月5日報告了勒索軟件攻擊事件，此次事件影響了客戶和員工對公司系統和服務的訪問。這起事件迫使Benchmark在2019財年支付了7,681,000美元的相關費用。到2021年底，該公司又收回了3,989,000美元，大概是來自保險報銷。

07Faneuil

ALJ Regional的子公司Faneuil是一家業務流程外包解決方案提供商。它于2021年8月18日檢測到勒索軟件攻擊。之后，Faneuil展開調查并聘請了法律顧問和其他事件響應專業人員，實施了一系列遏制和補救措施來應對這一情況，并借助網絡安全專業公司的力量加強其信息技術系統的安全性。

由于該事件，Faneuil產生了大約280萬美元的成本損失和罰款。不過，Faneuil獲得了190萬美元的保險追償應收賬款。目前，該公司已經收到了130萬美元，剩余的保險收益預計將在2022年3月31日之前發放。