Sophos：能源及水資源產業數據恢復成本中位數增至300萬美元

抵禦網絡攻擊的安全解決方案供應商Sophos，近日發佈一項針對重大基礎建設產業的調查報告《2024年基建產業勒索軟件形勢分析》，揭示兩大基礎建設——能源及水資源產業的數據恢復成本中位數於去年倍增至300萬美元，遠較全球跨產業中位數高出4倍，而當中則有49%的事故由「系統漏洞」所引起。

「系統漏洞」成49%勒索軟件攻擊的源頭

《2024年基建產業勒索軟件形勢分析》於2024年1月至2月期間進行，共訪問275名來自公營產能機構的員工，而調查對象均來自美國網絡安全及基礎建設安全局(CISA)所列明的16大重要產業下的能源及水資源公營機構之一。

Sophos全球首席駐場技術總監Chester Wisniewski表示：「犯罪分子試圖利用勒索軟件攻擊中斷機構營運，從而迫使機構必須盡快解決事故以回應公共服務需求及群眾壓力，最終選擇支付贖金讓服務能盡快復常。公營機構肩負為社會大眾提供基礎公共服務，並於現代社會中扮演關鍵角色。當不幸遇上網絡事故時，他們需迅速從事故中恢復過來，務求減低營運受阻所帶來的影響，而這亦令公營機構成為了勒索軟件攻擊的首要目標。」

Sophos全球首席駐場技術總監Chester Wisniewski續指：「公營機構除了成為犯罪分子的攻擊目標外，他們的系統往往存在漏洞，如『高系統可容度及安全度』和『專注實體保安的網絡保安思維』，令黑客得以攻其不備，乘虛而入。加上，大多過時的裝置於遙距管理上均缺乏現代化的安全管控措拖，如數據加密及多重身份認證，最終引導不少安全漏洞出現。以醫院及學校為例，由於此類公營機構普遍缺乏資訊科技人員及時修補系統漏洞，所以難以及時制定行之有效的安全措施及監察系統，同時未能即時鎖定風險的源頭。」

除了數據恢復成本提高外，能源及水資源基礎建設產的贖金中位數更於今年暴增超過250萬美元，較全球跨行業贖金中位數高出500萬美元。整體而言，67%的行業受訪者曾遭勒索軟件攻擊，佔全球跨行業平均比例59%。

調查報告其他重點包括：

• 數據恢復時間變得更長－參考2024年的最新數據，只有20%遭勒索軟件攻擊的機構能於一週內復原數據，數量較2023年(41%)及2022年(50%)大幅下降。
  • 當中，有55%機構需花費超過一個月時間復原數據，較2023年數字(36%)為高。縱觀所有行業，只有35%的受訪企業的數據恢復時間超過一個月，反映能源及水資源基礎建設產業較其他行業正面臨更嚴峻的挑戰。
• 數據備份未能有效發揮作用－對比其他行業，當遭受勒索軟件攻擊時，能源及水資源基礎建設產業的數據備份損壞率高達70%。另外，遭惡意加密的成功率更達80%，位列跨行業第三位。

Sophos全球首席駐場技術總監Chester Wisniewski補充：「不少機構認為支付贖金能迅速解決事故並減少損失，所以愈來愈多機構(61%)選擇支付贖金，務求讓業務得以盡快重回正軌。然而，此舉間接令機構需花上更長的數據復原時間。加上，若然向不法之徒繼續支付贖金，不但間接鼓勵他們針對該行業，同時難以讓業務得以恢復。因而，公營機構應認清現況，並了解遭攻擊的成因，從而主動採取防禦措施，著手修補遙距連接及網絡系統的漏洞，確保能全天候監察及應對一切潛在風險，以縮短業務中斷的情況及數據恢復時長。同時，機構亦應及早制定合適的事故回應方案，定時演習相關程序，如各類型的天然災害。」