數(shù)據(jù)顯示，2021年勒索軟件威脅達到了前所未有的水平，在多數(shù)情況下，攻擊者要求的贖金已高達數(shù)百萬美元。然而，以勒索軟件為代表的網(wǎng)絡攻擊，給受害企業(yè)造成的實際損害(包括收入損失)可能遠超贖金金額。對于大多數(shù)私營企業(yè)而言，勒索軟件攻擊的實際損失，甚至攻擊事件本身都被有意或無意的隱瞞起來。

為了更好地向投資者通報上市公司的風險管理、戰(zhàn)略和治理，并及時向投資者通報重大網(wǎng)絡安全事件。美國證券交易委員會(即U.S. Securities and Exchange Commission，以下簡稱SEC)企業(yè)財務部門在2011年，就首次頒布關于披露網(wǎng)絡安全風險和突發(fā)事件的指導原則。2022年3月9日， SEC再次公布新版規(guī)定征求意見稿，進一步加強要求上市公司關于網(wǎng)絡安全風險管理、戰(zhàn)略、治理和事件報告的披露，并使之標準化，其中明確了上市公司信息安全事件應在4天內披露。

新規(guī)要求上市公司在8-K表格中報告重??絡安全事件的最新情況，并定期披露以下信息：

• 上市公司識別和管理網(wǎng)絡安全風險的政策和程序;
• 公司管理層在實施網(wǎng)絡安全政策和程序中的作用;
• 公司董事會的網(wǎng)絡安全專業(yè)認知程度及其對網(wǎng)絡安全風險的監(jiān)督能力;
• 以往報告的網(wǎng)絡安全事件的處置狀況。

通過檢索SEC公布的8-K文件，我們發(fā)現(xiàn)，在2020年和2021年期間，30家上市公司報告了勒索軟件事件、勒索軟件相關費用或勒索軟件相關的保險報銷。雖然大多數(shù)此類披露文件都認為勒索軟件攻擊影響有限，或缺乏財務數(shù)據(jù)來證明處理此類事件所耗費的成本，但仍有7份披露文件中包含足夠的成本數(shù)據(jù)，可以揭示勒索軟件事件的成本究竟有多高。

以下是披露了勒索軟件事件及其成本數(shù)據(jù)的七家企業(yè)：

1. 辛克萊(Sinclair)廣播集團

該公司在報告中稱，它于2021年10月遭遇了勒索軟件攻擊事件。不過，它并未支付贖金，而是從備份中成功恢復了網(wǎng)絡，但勒索軟件造成的中斷還是為其帶來了收入損失和其他成本支出。

數(shù)據(jù)顯示，該事件導致辛克萊第四季度廣播部門的廣告收入損失6300萬美元，補救成本為1100萬美元。經(jīng)過保險賠償后，該公司預估仍將面臨大約2400萬美元無可挽回的凈損失。但是，由于恢復的細節(jié)仍不確定，該預估成本可能還會增加。

2. Blackbaud

2020年5月，云技術公司Blackbaud遭遇勒索軟件攻擊，雖然它成功阻止了攻擊者的攻擊，并最終將攻擊者從其系統(tǒng)中驅逐了出去。然而，攻擊者還是成功從其自托管的私有云環(huán)境中竊取了一部分數(shù)據(jù)的副本，Blackbaud最終支付了贖金。

在獲得大約940萬美元的保險賠償后，Blackbaud仍將面臨與安全事件相關的1040萬美元成本損失。而且事件發(fā)生后，Blackbaud收到了大約570份客戶訴訟，要求其就該事件做出相應的報銷理賠。2021年7月，法院允許這些訴訟繼續(xù)進行。2022年2月，Blackbaud簽訂了一項信貸協(xié)議，其中涉及數(shù)據(jù)泄露和勒索軟件攻擊相關的非經(jīng)常性法律費用支出高達5000萬美元。

3. WestRock

美國瓦楞紙包裝公司W(wǎng)estRock于2021年1月23日遭到勒索軟件攻擊，致使其IT和運營技術系統(tǒng)中斷。該公司表示，2021年第二季度銷售和運營中斷對凈銷售額和部門收入的影響分別為1.89億美元和8000萬美元。

WestRock還表示，此次攻擊事件還產(chǎn)生了大約2000萬美元的勒索軟件恢復成本。對于這部分損失，WestRock計劃將來從網(wǎng)絡和業(yè)務中斷保險中贖回。

4. Radiant Logistics

2021年12月8日，這家物流和多式聯(lián)運公司遭受了勒索軟件攻擊，影響了其運營和IT系統(tǒng)。Radiant表示，該事件使其12月份收入遭受損失并增加了成本，預計將對公司2022財年第二季度的業(yè)績產(chǎn)生不利影響。

該公司稱，在將系統(tǒng)脫機之前，攻擊者已從企業(yè)服務器上提取了與客戶和員工相關的部分數(shù)據(jù)。對此，它正在積極地與那些可能受到此事影響的受害者溝通。Radiant在詳細介紹其2021年全年財務狀況時表示，它在12月期間產(chǎn)生了750,000美元的勒索軟件相關事件成本，其中包括第三方取證和其他IT專業(yè)費用、法律費用以及增加的加班費和員工相關費用。

5. Mineral Technologies

Mineral Technologies公司于2020年10月26日遭受了Egregor勒索軟件攻擊。該公司表示，此次勒索軟件攻擊對其造成了400萬美元的系統(tǒng)恢復成本和風險緩解費用。

6. Benchmark Electronics

這家電子工程公司最初于2019年11月5日報告了勒索軟件攻擊事件，此次事件影響了客戶和員工對公司系統(tǒng)和服務的訪問。這起事件迫使Benchmark在2019財年支付了7,681,000美元的相關費用。到2021年底，該公司又收回了3,989,000美元，大概是來自保險報銷。

7. Faneuil

ALJ Regional的子公司Faneuil是一家業(yè)務流程外包解決方案提供商。它于2021年8月18日檢測到勒索軟件攻擊。之后，F(xiàn)aneuil展開調查并聘請了法律顧問和其他事件響應專業(yè)人員，實施了一系列遏制和補救措施來應對這一情況，并借助網(wǎng)絡安全專業(yè)公司的力量加強其信息技術系統(tǒng)的安全性。

由于該事件，F(xiàn)aneuil產(chǎn)生了大約280萬美元的成本損失和罰款。不過，F(xiàn)aneuil獲得了190萬美元的保險追償應收賬款。目前，該公司已經(jīng)收到了130萬美元，剩余的保險收益預計將在2022年3月31日之前發(fā)放。

參考鏈接：https://www.csoonline.com/article/3654293/sec-filings-show-hidden-ransomware-costs-and-losses.html