勒索软件黑客正在测试要求大笔付款的地方政府

英国的勒索软件攻击正在上升,地方政府如何最好地为勒索软件遭受攻击的可能性做好准备?

勒索软件对罪犯而言是一笔大生意,对公司而言则是昂贵的代价。随着黑客关闭政府服务,医院,蓝灯服务,学校和大学,全球越来越多的城市和地方政府已成为热门目标。

风险管理副总裁Frank Krieger以下& Compliance at 深入研究了消除网络犯罪的持续斗争,探讨了世界各国政府如何针对最佳行为进行自我测试。

这些类型的攻击在美国和 仅在过去的10个月中 140个地方政府,警察局和医院被勒索软件攻击劫为人质。结果,医院停止了新病人的入院,急救人员对遇险电话的响应较慢,城市服务中断,学校也暂停了课程。

勒索软件攻击正严重打击美国,不幸的是,许多组织选择为数据支付赎金,从而为勒索软件黑客创造了丰厚的市场。十月,一家阿拉巴马州的医院在被迫停止新患者入院后,向黑客支付了一笔未公开的金额来解锁其数据。六月,佛罗里达州的湖城市支付了460,000美元,佛罗里达州的里维埃拉海滩在佛罗里达州支付了超过600,000美元,以恢复其数据。在英国,景观同样脆弱。 2019年上半年恶意攻击数量 在英国增长了195%。 美国和英国的事件都在激增,随着我们冒险进入2020年,这一趋势无疑将继续,因为黑客利用有限的预算和容易获得负担得起的网络保险的地区和地方政府以及教育当局的共同漏洞。

大多数地方政府被迫分配IT预算和资源,以通过5G网络,物联网和云计算等下一代技术来改善服务。在此过程中,他们的运营和数据通过本地和全球网络变得越来越紧密,IT数据法规和创新需求使他们的IT专业人员不知所措。保护网络的时间或资源很少。

一个诱人的解决方案可能是购买网络保险,并准备在成功攻击后接受破坏。但是,政府和教育当局可以通过外部资源和最佳实践来加强其防御措施,这些资源与网络保险一样负担得起且易于实施。其中许多开始于改变我们对问题的思考方式。

惩罚与后果–有什么区别?

在网络安全方面,惩罚与后果之间存在很大差异。虽然对遭受勒索软件攻击之害的公共部门组织可能没有特别的处罚,但它们仍然面临重大的人为后果。当服务中断时,市民将无法联系紧急服务,冻结的财产记录可能会拖延贷款申请,或者医院可能无法接纳和治疗新患者。

在网络保险的支持下,赎金支付可以使数据和操作恢复正常。但是,对于依靠服务的公民以及公共服务提供商的整体声誉而言,成本是多少?更糟糕的是,通过支付赎金,我们只是在鼓励黑客,这解释了这些事件的势头。这些黑客知道谁为保险付费,他们拥有多少保险。此外,没有人可以假设他们不受处罚。勒索软件攻击使攻击者暴露于个人数据,使该组织违反GDPR并可能面临巨额罚款。有什么选择,可以采取什么步骤?

通过基于订阅的网络安全性增强IT

无论是数据备份,IT合规性还是安全程序,当今大多数基于云的IT服务都可以通过按月订购来获得,其价格等于或低于网络保险。

无论是数据备份,IT合规性还是安全程序,当今大多数基于云的IT服务都可以通过按月订购来获得,其价格等于或低于网络保险。

大多数地方政府都拉长了IT资源,这意味着他们’重新专注于解决最新的故障单,而不是保持设备和软件的更新。黑客知道什么时候发布了最新的软件升级或补丁,并且较小的组织可能会花一些时间进行升级。相比之下,提供基于云的服务的公司会定期发布并进行升级,并在其服务和数据中心上安装补丁,以确保安全性尽可能严格。

通过使访问控制保持最新来最大程度地降低风险

进入地方当局或学校网络的最简单方法之一是通过具有过时凭据的访问点,例如,当员工离开组织时就会出现这种情况。员工离职后,需要立即删除登录名和密码。知道现场资源是有限的,因此需要将此过程进行沟通并将其视为头等大事。

通过网络分段保护传感器和物联网设备的安全

随着地方当局将服务扩展到下一代技术上来构建智慧城市,它们之间的联系越来越紧密。到2025年, 超过750亿个设备 预计将通过物联网(IoT)连接,但是单个不受保护的访问点可能会使任何数据库容易受到攻击。

物联网设备依靠传感器收集有关电网,交通,垃圾收集或道路状况的数据,以更有效地交付服务。但是,黑客知道,许多较小的机构缺乏锁定这些传感器的IT资源和专业知识。黑客可以使用此访问权通过勒索软件将服务作为人质,有时甚至一次破坏关键系统几个月。

最多应将安全措施应用于这些传感器及其物联网设备。至少,城市官员应该通过不同的数据中心存储和运行其数据和应用程序。这也可以在云上完成。

拒绝吧”

具有数据备份和应急计划的地方政府组织几乎总是可以选择拒绝勒索软件攻击者。一个有效的备份和灾难恢复系统应该能够快速恢复系统,并且数据丢失最少(如果有的话)。通过拒绝支付赎金,并采取切实可行的“保险政策”以制定可靠的备份和灾难恢复计划,公共部门组织可以抵制勒索软件攻击者并发出明确信息,表明他们是更难的目标,而不是轻松的受害者。

发表评论