威胁不会消亡，只会不断加剧

• 2019年4月份，Brookside耳鼻喉和听力中心遭遇勒索软件攻击，导致患者记录、预约时间表和支付信息均无法访问，最终永久关闭。
• 2019年10月，营销公司Heritage服务器遭到勒索软件攻击，给公司造成了数十万美元的损失，该公司暂时停止了运营。据悉，该公司最终向攻击者支付了赎金，但IT团队仍在恢复系统过程中遇到困难，该公司的300多名员工可能因此失业。
• 2019年11月，西班牙两家大型公司在同一天内受到勒索软件打击，其中一家是Everis，它是NTT Data Group旗下的IT咨询公司;第二个是西班牙最大的无线电网络公司Cadena SER。据悉，这两次勒索软件感染对西班牙当地的商业环境产生了重大影响，因为许多当地公司使用Everis软件进行日常活动，有人担心自己被感染，选择关闭程序来检查系统。
• 2019年年底，广播公司Entercom遭到一次新的勒索软件攻击，使得该公司的电子邮件通讯、数字平台的文件和内容均无法访问，某些电台被迫播放录制的节目。这是Entercom在2019年遭到的第二次网络攻击，上一次攻击者向Entercom勒索50万美元，至于该公司是否支付赎金尚未可知。
• 2020年2月，美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接。

一个有目共睹的事实是，无论网络安全环境如何发展演变，威胁从来都不会消亡，只会愈演愈烈。而当企业成为勒索软件事件的受害者时，他们很可能会选择支付赎金的方式来获取继续运营的能力。但是，如果该企业组织拥有网络安全保险保单，那么保险公司就会为他们分析其他因素来权衡利弊，以确定接下来的相关事宜。网络安全保险公司会从各个角度审视情况，以了解哪种方案对于企业而言更可承受：支付勒索软件赎金或是支付转换为手动操作和备份数据的费用。

具体的分析和响应，是基于目标公司的保险条款明确承保的内容所定。假设该企业拥有针对勒索软件事件的保单，那么网络风险保险公司就会对每种选项进行成本分析。

选项1：支付赎金

勒索软件攻击者在确定索要多少赎金方面表现得十分精明。如果赎金太高，网络安全保险保单的赔偿限额将无法支持。赎金太低的话，网络攻击又显得得不偿失。赎金的具体数量通常需要考虑如下因素：1)企业因业务中断所造成的损失;2)企业通过劳动效率有限的手动操作所付出的成本。

网络安全保险通常会承保企业业务中断的成本，时间就从勒索软件对数据进行加密的那一刻算起。

目标企业组织和网络安全保险公司在做出决定之前还需要探讨的一些重要问题：

1. 支付赎金会导致数据幸存吗?

正所谓“盗亦有道”，诚信对于什么行业而言都是至关重要的。攻击者清楚地知道，如果他们在支付赎金后没有及时提供解密算法，那么他们下次再发动攻击时可能就不会收到任何赎金。因此，他们通常会选择信守承诺。

2. 目标公司的被盗数据是否存在很大的暴露风险?

通常情况下，勒索软件攻击者不会选择在暗网上公开被盗数据，但也并不排除这种可能性。网络攻击发生后，网络保险公司经常会与计算机取证小组合作，以确定是否丢失了任何数据或让系统对这种可能性有所了解。如果有任何个人身份信息(PII)数据被解密，则被保险公司必须根据某些规定(例如GDPR)通知当局。他们可能还会被要求将相关攻击信息告知拥有这些PII数据的受害者。一些目标公司甚至可能会受到数据隐私法规的罚款，并且还要向数据泄露的受害者赔偿相关费用。而这两项费用也都可以由保险单赔付。

3. 支付赎金是否会鼓励攻击者再次发动网络攻击?

不幸的是，勒索软件攻击者难以捕获。他们非常擅长掩盖自己的网络踪迹，并使用加密货币来隐藏任何金钱踪迹。支付赎金的行为会刺激一些激进的攻击者更加大胆地策划更多攻击活动，甚至是可能对贵企业进行反复攻击。

选项2：拒绝支付并切换到备份数据

确定切换到备份数据的成本涉及许多因素。如果投保公司每天备份其数据，那么成本和中断都可以忽略不计。但是，如果数据差异太大，且无法涵盖某些日常运营，那么业务损失和生产力中断可能会很严重。另一个问题是切换到备份数据所需的时间。对于网络保险公司来说，运营亏损成为了首要决定因素。

如果目标公司拒绝支付赎金，也有可能再次受到网络攻击。事实上，这种情况在任何一种情况下都是可能的。当原始数据和系统被加密后，很难进行全面的计算机取证调查，以了解攻击者是如何渗透进了您的系统之中。即使受害者在切换到备份数据时升级并强化了其网络安全措施，已经成功渗透到目标公司系统的攻击者也可能找到其他方式进入。

在许多情况下，攻击者都会进行侦察研究，从而确定多种危害公司的方法。他们可能会将重点放在可以用于重新进入目标公司系统的任何第三方漏洞之上。

尽管我们不希望看到恶意行为者们获取胜利，但是不可否认，支付赎金可能是恢复正常运营的最便宜和最快捷的方法。为了降低风险，对于那些跨国型的大企业来说，首先也是尤为重要的是要投资网络安全和风险评估措施。此外，实时地、更清楚地了解黑客对贵企业的了解程度只是一个开始。从黑客的角度来看待贵公司潜在的网络风险态势可能会令你大开眼界，这是许多网络保险公司在分析客户的风险状况时所采取的观点。

网络保险公司不仅需要衡量客户的网络卫生状况，而且还需要衡量与第三方供应商和合作伙伴相关的任何风险。他们通常会对目标公司的网络风险态势进行分析，以了解哪些漏洞可能会导致攻击发生，并提出需要改进的建议。

为勒索软件场景做好准备的最佳方法是了解在贵组织遭受网络攻击时会产生的财务影响。