聊聊网络风险与网络安全保险 作者:陈勇(山蛟龙) 最近,头脑里正在蕴酿写一篇有关网络安全及数据泄露相关的文章。在收集相关信息的过程中,10月4日,媒体报导了一家餐饮巨头加拿大餐饮连锁品牌Recipe Unlimited被黑客盗取数据并勒索赎金的消息。这则消息直接成为了我写这篇文章的引子。 一、网络安全形势现状 随着互联网技术的发展和运用的普及,相应地网络攻击、数据泄露、网络犯罪活动也越来越多,危害也越来越严重。在过去5年时间里,网络风险和威胁迅速发展,比较重大的能够引起公众注意的就有:Facebook数据泄露与美国大选、Equifax 公司145.5mils客户信息被盗、Bell Canada 10万加拿大客户信息泄露、某银行客户信息泄露、台积电晶圆生产线感染病毒等。要知道,这样的大公司,网络安全保护工作都是做得非常好的,基本上都有专门的网络数据管理部门或信息安全部门,居然都能够受到黑客的攻击或病毒的感染,可想而知,许多中小生意业主的网络及数据安全完全没有任何防护,说实在,不被攻击都难啊!在前两年的WannaCry病毒扩散期间,许多中小企业的电脑系统中弹而瘫痪,损失惨重。 大家看看网络勒索的增长量 网络风险的另一个现象是有组织的、有资金支持的网络攻击日益增加,甚至有的网络攻击属于政府在背后充当资金和组织的大佬,以获取关键技术、数据或资金等。 第三是高度有经验的、有技术支持的和复杂的攻击变得普遍。这跟第二个现象是重迭的,有组织和资金支持的攻击,一般都能找到技术水平高的、有经验的黑客。由于网络攻击的低成本和高“收益”或高破坏性,使得业余的、专业的、有组织的黑客纷拥进入这个领域,为了各自的目的制造出越来越多的网络风险和攻击案件。 二、网络攻击的目的及主要目标 要谈这个问题,我们必须明白参与网络攻击的主体都有哪些人或组织。 总体来看,卷入该行为的主体基本上跑不出:内部威胁、业余黑客、专业黑客、有组织犯罪、恐怖组织、国家或政府。不同主体的行为决定着其目的的区别,包括:勒索/赎金、控制处理器电源、瘫痪系统、商业机密、知识产权、关键业务信息、个人信息记录。不管攻击主体的目标是什么,但对于受害方来说,这一切都是有关“钱”的,即要解决或善后攻击事件,都必须要付出不菲的代价。 至于网络攻击的主要目标,可能大家都会认为是上面所列举的一些大的引起媒体注意的案件的主角,不得不说,此类目标肯定也是网络攻击的目标,不过,更大量存在的网络攻击是针对中小企业,原因是中小企业大多在网络安全方面的投资有限而造成其网络安全防范较为薄弱,加上中小企业对网络攻击的应对措施没有准备,大多最终选择支付赎金解决问题,这样就更加引诱黑客对中小企业进行攻击以获利。 三、网络攻击的主要手段 目前网络攻击的主要方式有:有针对性的攻击、大规模的攻击、碰运气、内部员工行为。 有针对性的攻击的主要手段包括,钓鱼邮件、电话、面对面、安装驱动器、社交媒体挖掘。大家看了这些所谓的手段可能会比较迷惑,比如面对面、安装驱动器等。是的,面对面窃取相关关键信息也能成为高科技时代网络攻击的一种手段,这个在现实当中是有案例的。某国政府为了获取台湾的一项高科技产品的制造工艺,采用猎头挖角的方式找台湾某厂商里的关键员工,以咖啡店交谈面试以及回答关键制造流程、关键业务的处理手法等方式,把台湾的关键技术给窃取了,人不需要招但该得到的都得到了,所付的猎头成本基本上都被猎头赚走了。安装驱动器主要是通过木马病毒进行。至于社交媒体的攻击手段,这可能就是一个大数据和数据定位技术了。社交媒体基本上能够了解到某个具体的人的一切习性,网络可以根据具体的人的具体习性来制定具体的有针对性的攻击手段。对于普通没有任何利用价值的人倒无需担心被攻击,无非就是推送一些你的爱好的新闻、音乐、电影、商品等给你而已,但对于有利用价值的人,包括政府公务人士、企业领导人、企业里的关键技术人员、社会关系里的重要人士,也许你根本不知道别人是如何看待你的价值的,有句俗话说,你的垃圾也许是别人的宝贝,在社交媒体的网络攻击上,也有这种情况。你所认为的无关紧要的信息,有可能对有心人都是宝贝,有可能对你造成极大的影响和伤害。 大规模的攻击比较容易理解,就是利用大量垃圾邮件,比如利用机器人发送大规模的垃圾邮件对某个邮件系统或是网站进行攻击,最终使得网站或邮件系统因为“堵车”而瘫痪,造成商业利益的损失或是商业声誉的损害。大规模攻击还包括使用僵尸网络,用被感染的程序接收创建者指令,向互联网主机发送大量不请自来的邮件或是网络攻击信息。 所谓的碰运气方式一般都是业余黑客或无业技术人员为了赚一些糊口的小钱而进行的小打小闹的动作,比如刚好遇到某个小企业的安全防范特别差,很容易进入系统,把关键系统或信息加密而造成无法运行和使用,企业为了生产经营的继续进行,不得不支付赎金的案例。由于有了加密货币的存在,这种网络勒索给警察破案带来极大的困难。碰运气的网络攻击有时也是利用企业的密码政策不健全或是没有经常备份数据或是没有定期升级安全补丁等而给黑客带来机会。 内部员工行为包括内部倏忽和恶意行为、员工安全意识不足、客户私人信息访问的权限设置、特权用户对程序控件的访问或更改敏感信息、员工的不法行为等。 四、网络攻击的“利益” 说出来可能会吓大家一跳,据统计2016年全球光勒索软件一项,勒索金额就超过10亿美元。 由IBM所进行的研究表明,有70%的企业在遇到网络攻击之后最终选择支付赎金来恢复它们的系统或文件。有一半的企业支付金额超过1万美元,有20%的企业支付金额超过4万美元。 据研究分析,全球在数据泄露上的平均成本是362万美元(这种一般都是大型企业)。2017年每个受损客户的平均成本是141美元,包括通知成本、监管机构的罚款成本、系统维护成本以及后续面临的法律诉讼、时间、声誉等成本。 想想,网络攻击和网络风险有可能带给你的伤害,你做好了准备了吗? 应该说,技术越进步,网络攻击越难以防范。面临着这么严峻的局面,公司企业应该怎么做呢? 五、网络风险应对措施 比较通常的想法和做法包括:避免风险、忽略风险、降低风险、转移风险。 应该说这种网络攻击的风险是避无可避的,许多攻击不是你想避就避得开的。若这种风险真可以避开的话,网络攻击案件不会这么大幅度的增长。正因为难以躲避而且利益丰厚,才使得这种东西越来越多。所以躲避不是一个好的选择。 有人说,我避不开,我干脆忽略它。你说网络攻击这么多这么严重,而我却从来没遇见过,杞人忧天没有必要,该干嘛干嘛。我比较能够理解这部分朋友的想法,就象购买人寿保险一样,经常有人说,不惓保险我不是也好好地活了几十年了吗?这种所谓的风险几乎可以忽略不计。当然,持有这种观点的朋友还是可以继续持有,有句俗话说:不到黄河心不死,不见棺材不落泪。只是现实是一旦见到了棺材,连落泪都来不及了。反正,我不得不说,你的想法不是个好主意。 比较理性的做法是后面两种,一是降低风险,另一是转移风险。 不过,降低风险是必须投入的,是有成本的,而且风险到底可以降低到何种程度,没有经过实践是无法得知的。 降低风险的手段有:扫描/评估网络是否存在漏洞、定期补丁、定期备份系统/数据、定期测试备份、制定安全政策和程序、培训员工等,可以说每一项降低风险的措施企业都得付出时间和资金成本,可以说,不容易但也不得不做。 在降低风险的同时,若能够有效地转移风险到第三方,这样对企业来说其负担就会减轻不少。社会化的转移风险的手段,最好的就是购买保险。 网络攻击保险能够在多大程度上帮助企业呢?首先我们知道针对中小企业的网络攻击主要包括数据泄露、数据或关键技术信息的被盗、系统瘫痪等,这些手段所能带给企业的主要损失是通知受损客户的通知成本、监管机构的行政或罚款成本、系统或数据的恢复成本、企业声誉或客户丢失成本、法律诉讼成本或给客户造成损失的责任成本等。若企业在遇到攻击时,能够在财务上把这些成本给避免掉,企业生存的压力就会少很多,而若没有保险来转移风险,很多中小企业在遇到一次网络攻击就基本上奄奄一息难以生存,有的甚至直接破产倒闭。 多伦多有一家建筑设计公司,员工不多,只有六人,但设计收入还不错,一年有一百万以上的营业额。在一次网络攻击中,系统被黑客瘫痪,系统里的数据全部失窃。由于无法按时完全客户的委托造成合同的取消和赔偿,这家公司直接关门倒闭。此类悲剧天天在上演着,说不定下一个就轮到你。 以上内容仅为信息参考,不构成任何形式的保险意见或建议。若您在保险业务方面有任何问题,请咨询专业合格的保险顾问或直接与本人联系,本人将为您提供专门针对您的问题的保险方案供您参考。本人联系电话:4163004768.
|