社区编辑申请
注册/登录
上市公司财报披露勒索软件成本
安全
对于大多数私营公司而言,勒索软件攻击的成本,甚至攻击本身,都可以隐而不现,这也是上周立法规定所有公司都必须报告赎金支付情况的缘由所在。

2021年,勒索软件祸害直冲前所未有的高度,勒索软件攻击团伙往往索要数百万美元之巨的赎金,并且很多时候都能得逞。去年6月,全球最大肉类加工企业JBS证实,因勒索软件干扰运营,已向攻击者支付相当于1100万美元的赎金。

2021年5月,Colonial Pipeline给勒索软件攻击者打钱443万美元,不过,在随后的行动中,美国司法部(DOJ)没收了其中230万美元。同样是在5月,因遭受Conti勒索软件滋扰,备份设备供应商ExaGrid向网络犯罪团伙支付了260万美元赎金。

但是,赎金什么的,在收入损失等勒索软件攻击造成的实际成本面前,还只算得上小巫见大巫。对于大多数私营公司而言,勒索软件攻击的成本,甚至攻击本身,都可以隐而不现,这也是上周立法规定所有公司都必须报告赎金支付情况的缘由所在。

另一方面,上市公司则有义务向美国证券交易委员会(SEC)报告对其运营造成实际影响的任何网络事件,包括勒索软件攻击。在SEC注册的大多数上市企业通过填报8-K报表来履行这一义务。(注意:SEC正在制定计划,要求所有上市公司:一旦注册人确定公司经历了重大网络安全事件,必须在四天内上报SEC。)

网络安全媒体CSO仔细查阅SEC的8-K文件之后发现,2020年和2021年期间,有30家上市公司报告了勒索软件事件、支付了勒索软件相关费用,或者收到勒索软件相关的保险赔偿。尽管这些文件大多认定勒索软件攻击非重大级别,或者缺乏详细说明事件处理成本所需的财务数据,但有七份文件记录了足够的成本数据,可供一窥勒索软件事件的成本可能有多高。

七个相关案例简述

1. Sinclair Broadcast Group

这家媒体和广播巨头报告称2021年10月遭遇了勒索软件事件。Sinclair表示自己并未支付赎金,能够依靠备份恢复网络,但发生的一些中断影响了收入和费用。该事件导致广播部门第四季度广告收入损失6300万美元,修复成本为1100万美元。得到保险赔偿后,该公司估算此次网络事件造成大约2400万美元无法挽回的净损失。不过,由于恢复细节仍未确定,这一估计数据可能还会增加。

2. Blackbaud, Inc

2020年5月,云技术公司Blackbaud遭到勒索软件攻击,但该公司成功阻止了攻击者中断其系统访问,并粉碎了攻击者完全加密其文件的意图,最终将攻击者从其系统中驱逐了出去。然而,攻击者删除了其自托管私有云环境中的部分数据副本,Blackbaud还是不得不支付了攻击者索要的赎金。

2020年,Blackbaud的安全事件相关费用为1040万美元,抵消了940万美元的保险赔偿。来自客户或律师的事件相关费用报销索赔大约有570份。2021年7月,法院批准这些诉讼继续进行。2022年2月,Blackbaud签订了一份信贷协议,预计与数据泄露和勒索软件攻击相关的非经常性法律费用高达5000万美元。

3. WestRock Company

2021年1月23日,这家差异化纸张与包装解决方案提供商遭到勒索软件攻击,致使IT和运营技术系统中断。该公司声称,2021年第二季度的销售损失和运营中断造成净销售额减少1.89亿美元,部门收入减少8000万美元。WestRock还表示,事件产生了大约2000万美元的勒索软件恢复成本,主要是支付专业费用。WestRock预计未来将通过网络和业务中断保险挽回勒索软件损失。

4. Radiant Logistics

2021年12月8日,这家物流和多式联运公司遭到勒索软件攻击,运营和IT系统受损。Radiant表示,该事件导致公司12月份营收损失和成本增加,预计将对公司2022财年第二季度的业绩产生不利影响。

该公司指出,在公司下线各个系统之前,攻击者从公司服务器上提取了其客户和员工的相关数据。公司正积极联系可能受这些事件影响的用户。在详细介绍其2021年全年财务数据时,Radiant表示,12月勒索软件相关事件成本为75万美元,其中包括第三方取证专家和其他IT专业费用、法律费用以及增加的加班费和员工相关费用。

5. Mineral Technologies

2020年10月26日,这家矿物技术公司遭到Egregor勒索软件攻击。Mineral表示,2020财年遭遇勒索软件攻击后,公司在系统恢复和风险缓解方面产生了400万美元的费用。

6. Benchmark Electronics

这家电子工程公司最初于2019年11月5日报告称遭到勒索软件攻击,攻击导致客户和员工一度无法访问其系统和服务。受攻击影响,该公司2019财年支付了768.1万美元的勒索软件事件相关费用。到2021年底,大概是获得了保险赔偿,Benchmark Electronics补上了其中398.9万美元。

7. Faneuil

身为ALJ Regional的子公司,这家业务流程外包解决方案提供商于2021年8月18日检测到勒索软件攻击。Faneuil展开调查并聘请法律顾问和其他事件响应专业人员,实施了一系列遏制和补救措施来缓解事态,并通过主流网络安全公司加强其信息技术系统安全。受此事件影响,Faneuil付出了大约280万美元的费用和罚款。Faneuil确认应获得190万美元保险追偿,目前收到130万美元保险赔付。余下的保险赔偿款预计在2022年3月31日之前付清。

勒索软件缓解过程矫正技术债务

Recorded Future情报分析师Allan Liska向媒体透露:“恢复过程中有很多我们通常考虑不到的费用。只要不打算不支付赎金,就必须恢复所有机器。因此,你得准备好面对事件响应开支和随之而来的一切费用。你觉得这可能就是几百万美元。但是,除此之外,应该计入其中的费用还有很多,比如Blackbaud遭遇的巨额法律费用。”

Liska补充道:“另一项应该计入勒索软件恢复费用的大笔开支,是勒索软件缓解过程中补上的技术债务:那些应该实现但却搁置多年的项目。我们两年前就应该实现多因素身份验证了。现在,经历勒索软件攻击之后,我们总算能开工了。经历勒索软件攻击之后开放安全预算几乎成了常规,而这些钱势必来自别的地方,不属于原先的安全预算。于是,跟乾坤大挪移似的,最终算成了勒索软件费用。”

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-08-09 13:35:26

勒索软件网络攻击

2022-07-07 08:52:03

勒索软件加密货币网络攻击

2022-06-29 11:50:47

2022-06-14 10:09:04

2022-06-21 11:47:46

勒索软件安全风险

2022-05-26 15:20:44

勒索软件数据安全

2021-10-08 08:18:29

2022-03-28 11:47:12

勒索软件攻击网络袭击利司通

2022-03-18 15:19:20

勒索软件供应链网络安全

2022-02-15 13:57:36

勒索软件赎金黑客

2022-01-26 17:31:44

2021-10-18 05:21:34

2021-12-31 10:19:50

2022-01-29 07:49:05

2021-01-20 11:39:25

勒索软件信息泄露网络安全

2021-05-18 14:32:25

勒索软件攻击数据泄露

2021-11-30 06:31:06

2021-10-11 14:18:05

2021-04-27 08:16:48

勒索软件攻击赎金

2021-12-02 13:56:33

同话题下的热门内容

Github突遭大规模恶意攻击,大量加密密钥可能泄露!什么是UPnP?它有何危险?怎样提高网络数据安全性知名半导体制造商Semikron遭勒索软件攻击经销商技术部-防SQL注入实践正确的 WAF 配置对网络安全是如此重要火了十几年的零信任,为啥还不能落地一起看看21个网络安全优秀实践

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号