Sophos公佈最新調查結果《2021 年金融服務業勒索軟體現況》,揭露亞太地區和日本 (APJ) 的中型金融服務機構平均花費超過 262 萬美元才能從勒索軟體攻擊中復原。結果顯示即使金融行業是對抗勒索軟體時最有復原能力的行業之一,但這個數字超過全球跨產業平均水準的 185 萬美元。該調查還研究了勒索軟體攻擊在 2020 年的範圍和影響。
其他發現包括:
- 2020 年,亞太地區和日本接受調查的金融服務組織中有 35% 受到勒索軟體攻擊
- 69% 受影響的組織表示攻擊者加密了他們的資料
金融服務是世界上監管最嚴格的行業之一。這些組織必須遵守無數的法規,包括 SOX、GDPR 和 PCI DSS,法規中對違規和資料外洩的行為都設立了高額罰款。其中許多組織還需要制定業務連續性和災難復原計畫,以盡最大能力減少網路攻擊造成的資料外洩,或是營運中斷造成的任何損害。
各行業以備復原被勒索軟體加密的資料
Sophos 資深安全顧問 John Shier 表示:「嚴格的金融服務業指導方針鼓勵企業採取強而有力的防禦措施。不幸的是,這也代表一旦勒索軟體攻擊得手,受害的組織得要付出高昂的代價。再加上監管罰款、重建 IT 系統和穩定品牌聲譽的代價,尤其是在有客戶資料外洩的情況下,就不難了解為什麼調查發現亞太地區和日本的中型金融服務組織在 2020 年遭受勒索軟體攻擊的復原成本超過 262 萬美元。
「另外兩個稍微令人擔憂的重點是,全球有 8% 的金融服務機構遇過所謂的「敲詐勒索」攻擊,亦即資料沒被加密而是被盜,攻擊者威脅要在網路公佈受害者的資料,除非他們支付贖金。備份無法防範這種風險,因此金融服務組織不應利用備份作為反敲詐勒索的防禦措施。此外,在全球接受調查的金融組織中,有 11% 的受訪者認為自己不會受到攻擊,因為他們「不會成為目標」。這個看法很危險,因為任何人都可能成為目標。最好的方法是假設您會變成目標並對應地建立防禦措施。」
金融業不認為會受到勒索攻擊的原因
在認為自己將來會受到攻擊的亞太地區和日本金融服務組織中,54% 表示今日的攻擊過於複雜,他們越來越難加以阻止。35% 的人認為他們會成為目標,因為同業已經是勒索軟體的目標。51% 的人認為,勒索軟體到處肆虐,他們遲早會被網路犯罪攻擊。
Shier 說:「金融業如果無法制定深入的防禦計畫來保護、偵測和阻止網路攻擊,那麼面臨的風險太大了。「雖然他們應該繼續投入備份和災難復原工作以大幅減少受到攻擊的影響,但還應該尋找結合技術和人為引導的威脅捕獵來消除當今先進的人為引導網路攻擊,以提升他們的反勒索軟體防禦能力。」