2016年,一个知名的NASCAR赛车队成为勒索软件攻击的受害者。该车队公开表示,他们支付了赎金,被扣数据的价值比实际赎金要高数百万。像NASCAR车队这样公开这些信息是否明智?当企业决定支付勒索软件攻击赎金时,是否应该告知公众?
Mike O. Villegas:早在2003年7月,加利福尼亚州通过一项法律,要求“任何未经加密的个人信息被未经授权的人获取或被合理相信已被获取需告知于众”。目前,在美国有47个州有类似的有关数据泄露的法律要求。
问题是勒索软件是否已经构成需要进行披露于众的违法行为。加利福尼亚州法律规定,违法行为意味着“未经授权获取计算机数据、损害个人或企业所持有的个人信息的安全性、保密性或完整性”。
尽管解释起来比较麻烦,勒索软件不会危及个人信息的安全性、保密性或完整性。它妨碍企业访问被加密信息,除非企业向提供解密密钥的攻击者付款。攻击者无法访问数据,对于数据,他们并不修改、查看或使用来打破安全保护。从技术上讲,勒索软件攻击并没有构成违反披露法所定义的行为,因而可能并不需要向政府或监管机构报告勒索软件攻击事件。
不过很多安全专家认为,感染勒索软件必然违反企业安全防御,企业应该对其进行披露。大多数勒索软件都是对关键数据进行加密,如果勒索软件攻击被确定为违法行为,那么企业不仅需要通知其客户,也需要将其报告给政府层面。
网络安全专家建议不要支付赎金。但实际上,考虑到资产的关键性,企业往往不得不进行支付。如果没有进行适当的备份,那么支付赎金可能是唯一的选择。那么通告勒索软件攻击又待如何?
从企业的角度来看,遭受勒索软件攻击显示了企业内部控制结构有漏洞,给黑客进入企业环境以可乘之机,同时也暴露出企业缺乏足够的备份和恢复计划以减轻勒索软件带来的影响。往往这会造成重大业务中断、收入损失、客户、声誉和新业务的丢失。CISO也免不了成了替罪羊。如果勒索软件加密的数据是敏感信息(如PCI、HIPAA或PII),且企业处于数据泄露状态,那么对勒索软件攻击的详细信息进行通告是必要的。
本文转自d1net(转载)