Sophos 作為網絡安全廠商,今天發佈《Sophos 2021金融服務業對勒索軟件形勢分析》,並揭示亞太地區及日本中型金融機構較平均需額外花費逾262萬美元,才能於勒索軟件攻擊中復原。雖然金融業為眾多行業中最應對勒索軟件攻擊最有復原力,但其修復成本卻高於全球跨行業的平均修復成本(約185萬美元)。本調查對2020年勒索軟件攻擊的範圍及影響作出詳細分析。
其他調查結果包括:
- 35%於亞太地區及日本的受訪金融機構於2020年曾遭受勒索軟件攻擊
- 69%曾受勒索軟件攻擊的金融機構表示,黑客已成功加密其數據
金融業為全球其中一個最受嚴格規管的行業。金融機構須符合眾多監管條例,包括:美國《薩班斯—奧克斯利法案》(SOX),歐盟《一般資料保護規例》(GDPR)以及支付應用程序數據安全標準(PA-DSS)。針對不符合法定要求及洩露數據的金融機構,相關條例對該機構作出嚴厲懲罰。為此,許多金融機構更需制定持續營運計劃(business continuity plan)及災難復原計劃(disaster recovery plan),務求減低因網絡攻擊導致數據外泄或因營運中斷而構成的任何潛在損失。
Sophos 資深安全顧問John Shier 表示:「金融服務機構的嚴格指引鼓勵它們採取有效的網絡防禦措施,而此舉則意味著勒索軟件的直接攻擊將讓目標機構付出沉重代價。如果機構同時面對監管罰款、重建 IT 系統及品牌聲譽,再加上面對客戶數據外洩的情況,你將明白為何亞太地區及日本中型金融機構於2020 年修復勒索軟件攻擊的成本超過262 萬美元。」
「數據更反映另外兩個令人憂慮的情況,全球有 8% 的金融服務機構曾受到敲詐勒索攻擊,即表示雖然其數據未被加密,但卻被攻擊者盜取且威脅如不繳交贖金將於網絡公開其數據。可見,進行數據備份亦難以防範相關風險,因此金融服務機構不應依賴它作為防範敲詐勒索的措施。此外,全球受訪的金融機構中有 11% 認為他們不會遭受網絡攻擊,因為他們「不是目標」。其實任何人都有機會成為目標,所以這是一種危險的觀念。因此,最好的防範措施是假設你將成為攻擊目標,從而建立相應的網絡防禦策略。」
有54%認為自己將受到勒索軟件攻擊的受訪亞太地區及日本中型金融機構指出,目前網絡攻擊變得尤其複雜,以致更難阻止;有35%的受訪者指由於同業已成勒索軟件的攻擊目標,所以令他們相信其機構未來將會成為目標;51% 的受訪者認為,由於勒索軟件變得普遍,網絡攻擊將變得無可避免。
Shier 續指:「如金融機構欠缺深入的網絡防禦計劃以保護、偵測和阻擋網絡攻擊,將讓機構面臨龐大風險。因此,金融機構應持續投放資源於系統備份和災難復原計劃,以減輕網絡攻擊所帶來的影響。同時,為了加強抵禦勒索軟件的能力,機構亦應採用融合科技和以人為本的威脅偵測,才能應付現今不斷進化的人為網絡攻擊。」
《Sophos 2021金融服務業對勒索軟件形勢分析》全球調查之完整版本已上載至Sophos.com。
《Sophos 2021金融服務業對勒索軟件形勢分析》共訪問 5,400 位來自30 個國家和地區的受訪者,當中包括 550 名金融服務機構的決策人員,他們分別來自歐洲、美洲、亞太和中亞、中東和非洲等地區。
