針對關鍵基礎設施部門的勒索軟體攻擊浪潮日益高漲，並且達到了前所未有的程度。如今，技術、法律和監管風向的轉變正使這一對工業環境的災難越來越難以處理，成為許多首席資訊保安官在議程中的首要議題。

企業必須處理的一些難題：

•是否支付贖金？

•網路保險能否提供足夠的庇護？

•政府的作用是什麼？

•是否即將出臺新的規定和處罰措施？

•對手如何演變他們的策略？

為了理解這一切，需要首先關注網路犯罪分子和他們的技術。他們有著成熟的商業模式和仔細考慮的勒索軟體財務計算。他們已經決定是否發起直接攻擊以實現利潤最大化，或提供勒索軟體即服務，並配有幫助臺和其他支援服務，為他們的收入提供補充，同時讓技術水平較低的惡意行為者受益。

他們根據支付能力對受害者和目標組織進行了調查。所有這些策略都是協同制定和執行的，以使支付贖金成為阻力最小的途徑——無論是在經濟上和邏輯上。

勒索軟體活動的每一個方面都是為了激發攻擊目標的情感反應，因此支付贖金比自己承擔試圖恢復的成本和延遲更容易。

企業所面臨的困境

•現在不是道德絕對化的時候。關於企業是否應該支付贖金存在激烈的爭論，有人警告支付贖金將會導致更多的勒索軟體攻擊。雖然這是事實，但考慮到利害關係，這根本不實用或不可行。紙上談兵很容易，但考慮到受害者感受到的壓力，這也許是一種更好的選擇。面對關於網路攻擊以及他們公司的曝光率和未知的命運，指責他們不應該支付贖金，就像告訴搶劫的受害者不應該交出他們的錢包一樣荒謬。

•禁止支付贖金只會增加痛苦。此外，另一個考慮的步驟是執法機構應該透過將贖金支付定為非法行為來禁止支付贖金。但專家的觀點是，這將使政治和商業領袖陷入困境，他們需要在觸犯法律或影響公共安全和經濟之間做出選擇。

•不要將風險轉移誤認為是控制。雖然網路保險是一種有效的風險轉移機制，但不要將其與制定的計劃混淆。它也不能替代良好的治理和風險管理。事實上，網路犯罪分子正在積極針對擁有網路保險的企業進行攻擊，因為他們知道這些受害者更有可能支付贖金。由於網路保險公司的成本不斷上升，而且可用於建立精算表的資料有限，其保費和免賠額開始上漲。保險公司表示，如果企業沒有實施適當的控制和治理，他們將不會承保勒索軟體攻擊。與任何型別的風險緩解策略一樣，保險只是其中的一個組成部分。

企業應該如何應對

•從無知到疏忽將造成緊迫感。企業的董事會和最高管理層瞭解並考慮規避各種業務風險，包括市場風險、供應鏈風險和流動性風險，但許多人並不瞭解工業網路風險。企業董事會都有責任向最高管理層提出問題，對他們的風險承受能力提出自己的觀點，制定良好的彈性計劃，並瞭解其運營環境中網路風險的當前狀態。如果是首席資訊保安官，提高對這種新風險類別的認識將建立一個平臺，企業董事會不能忽視該平臺。鑑於透過數字化轉型獲得的所有優勢，工業企業內部的網路風險不是“如果”而是“何時”的問題。一旦存在風險，就容易陷入困境。現在是開始加強工業網路安全的時候了。

•命運眷顧有準備的人。雖然面對網路攻擊有時可能無能為力，但可以做很多事情來降低風險。美國國家標準與技術研究院開發了網路安全框架，該框架有助於提供一系列步驟，幫助企業如何在一段時間內積極地思考和採取行動保護其基礎設施。透過立即實施推薦的控制措施並建立堅實的基礎，企業可以減少事後反應的擔憂。例如，瞭解運營環境、進行桌面練習以及與事件響應和律師事務所建立正式關係，併為應對網路攻擊做好準備。

•改變財務計算。勒索軟體攻擊的財務模型歷來傾向於付費。巴爾的摩市就是一個廣為宣傳的例子，這次網路攻擊使該市損失收入以及恢復系統的直接成本超過1800萬美元，但在遭遇網路攻擊當天，其贖金僅為76000美元的比特幣。因此，美國眾議院和參議院的國會議員都提出立法以推動強制性事件報告，以及制定激勵和抑制機制來改變財務和風險方式，以支援更好的控制和風險治理。

只要有收益，針對關鍵基礎設施部門的勒索軟體攻擊就有可能繼續下去。為了降低風險，最有效的一條途徑是探索可用的技術、法律和監管手段來支援和鼓勵降低風險的行為。這需要全社會的共同努力，並提出合乎道德且可行的方法，其中包括主動技術和實踐、緩解措施和響應的組合。深入瞭解正在發揮作用的多種措施，可以朝著正確的方向前進。