住房公积金热线:12329
热点透视
当前位置:首页 > 政策法规 >热点透视 >

在网络安全法实施之日,勿忘勒索病毒前车之鉴

发布日期:2017-06-01 14:44:18发布人:东营市住房公积金管理中心浏览次数:字体大小[    ] 保护视力色:             

在网络安全法实施之日,勿忘勒索病毒前车之鉴

来源:搜狐财经

今天,2017年6月1日,不仅是“儿童节”,还是《网络安全法》正式实施的日子,我们的网络安全正在成长。

  《网络安全法》是中国首个为信息隐私、本土化与安全建立司法框架的国家性法律。之前我们为企业总结了此法会对企业风险管理带来哪些影响。近期爆发的全球性勒索病毒攻击,导致众企业欲哭无泪。在《网络安全法》实施的今天,我们再总结一下WannaCry勒索病毒危机给我们带来了哪些经验教训。

  2017年5月12日(星期五),一种名为 “WannaCry”的勒索病毒肆虐全球,至少150个国家的数十万人中招。受害人需要支付至少300美元才能解锁文档和数据或者恢复计算机访问。

  WannaCry勒索病毒入侵那些使用陈旧的、未经过补丁更新的Windows操作系统的计算机设备,利用其中的漏洞发动攻击。据报道,此次攻击的受害者包括商业实体、电信服务商、政府机构甚至应急服务商。

  什么是勒索软件?

  如名称所示,勒索软件通过加密“绑架”电脑中的数据, 然后索要赎金。只有通过IT安全专家(至今没有已知的解决方案)或者支付赎金(假设网络攻击分子履行承诺)的方式来删除勒索软件,计算机系统和/或数据才能恢复可访问状态。

  与其它病毒不同,WannaCry病毒不需要依赖受害人点击被感染的链接或附件才能启动。它是一种蠕虫病毒,一旦入侵,就会快速搜索有漏洞的计算机并发动攻击,根本不需要用户的参与。

  如果受到攻击, 该如何应对?

  与许多其他专家一样,达信通常会建议您不要支付赎金。尽管在有些情况下支付赎金会使您的数据得到恢复,但是谁都无法保证,一旦攻击者违背承诺,您根本没有办法进行追索。而且,即使数据得到恢复,由于网络犯罪分子知道您会支付赎金,他们在未来仍有可能非法侵入您的计算机系统并发动攻击。

  还有一点请注意,在某些国家,支付赎金是违法的。如果您支付了赎金,那么您可能需要承担刑事责任。

  经验教训

  在下一次危机来临前,我们应当清楚的认识到,技术基础设施比想象的要脆弱的多。这意味着,企业应着手考量网络风险事件带来的日趋严峻的营业中断风险。

  IT网络的互联和复杂程度不断增加,加剧了中断扩散的风险。即使贵公司没有直接受到攻击,但是因为供应商或其他业务伙伴中招,贵公司也会受到中断的影响。在当前的环境中,许多企业认为IT和通讯中断是导致供应链中断的罪魁祸首,而且会引发重大损失。

  除技术方面的措施以外,企业还应考虑采取以下措施,以应对未来可能发生的攻击:

1. 通过网络风险应对演练构建应变体系。WannaCry是一种新型恶意软件,其破坏速度和影响难以预计。企业应构建灵活、快速和适应性强的事件应对体系。针对不同情景,定期测试公司的应对计划,确定和部署专业的应对资源。

2. 更新风险建模。重新考察可能影响贵公司运营的情景,然后确定它们可能带来的运营和财务影响。这有助于:评估二级和三级后果,例如供应链中断和相关的财务成本;明确哪些风险需要给予重点关注。

3. 审查和更新贵公司的网络风险保险计划。网络互联日益紧密,企业对数据分享的依赖不断增加。任何依赖技术的企业(大部分企业确实如此)应重新审查其网络风险保险计划。您应根据需要更新保单,为营业中断和网络敲诈勒索风险安排保险保障,并重新评估一旦发生巨灾保险限额是否充足。

  网络风险保单提供哪些保护

  网络风险保单可以量身定制,能够承保网络攻击导致的各种问题:

· 网络安全责任

· 信息资产

· 营业中断

· 网络犯罪

· 网络敲诈勒索

· 危机管理

· 名誉损害

· 法律诉讼

  其他提示

1. 网络问题不仅仅是IT部门的问题,还是企业内每个人的问题。坚持认为网络问题是IT部门的问题,与认为负责打击恐怖主义的部门只有政府安全和军事部门是一样的。

2. 就像恐怖主义一样,即使是最优秀的安全措施也无法彻底预防网络风险事件的发生。企业应制定应变能力和危机管理计划,为安全措施提供补充。

3. 没有人可以完全置身于网络攻击之外。举例来说: WannaCry病毒被认为是来自于美国国家安全局(美国国防部下属的一个军事情报机构)的网络。美国国家安全局有最优秀的IT系统工程师,其系统应该是安全的,但是最终却遭到入侵。

4. 人为过错/疏忽是导致网络入侵事件发生的最常见的原因。系统被入侵不一定都是IT部门的过错。

5. IT服务可以外包,但是您对客户、业务伙伴、员工和监管机构的责任却不可以外包。

6. 有研究表明,全球很多人都认为如果丢失了移动设备,他们的生活将会崩溃。数据丢失或者网络故障还可能对企业造成毁灭性打击。现实中有很多这样的事例,本来盈利的企业因为网络事件而倒闭。

7. 数据丢失并不是网络攻击所带来的唯一后果。企业可能会因为泄露客户的个人信息而蒙受名誉损失,最终在一夜之间倒闭,当企业和客户之间的关系依靠信任和商誉来维系时更是如此。因此,数据丢失的程度与名誉和业务损失的规模不一定成正比。举例来说,一家银行可能丢失了十名客户的数据,导致这些个人的信息受到损害。对于银行而言,这种情况产生的直接财务后果是可以控制的,只要赔偿这十名客户的损失即可。然而,一旦媒体曝光了这则消息,银行的名誉将会受损,成千上万的客户可能就会决定转去别处办理业务。最终,名誉损失带来了更大的财务影响。

勒索软件和其他新兴风险在发生频率和复杂程度上将进一步增加。企业需要一份全面的网络风险管理战略,包括经济风险建模、优化的网络安全和网络风险保险计划以及灵活多变的网络风险应对体系,确保能够做出快速有效的响应并及时恢复正常运营。


业务联系电话

热线电话:12329