英国要求企业不要在网络攻击中支付赎金

Commercial Risk Online网站2024年5月15日文章：英国要求企业不要在网络攻击中支付赎金。敦促企业提高运营复原力，抵制犯罪要求。（BY Nicholas Pratt） 

英国国家网络安全中心（NCSC）敦促企业不要支付勒索软件的要求，并警告说支付并不能保证事件的结束，反而会刺激犯罪分子。

该建议是国家网络安全中心（NCSC）向企业发布的关于处理勒索软件要求的指南中的核心信息，旨在减少网络犯罪团伙的付款流。

英国国家安全委员会与英国保险商协会、英国保险经纪人协会和国际承保协会（IUA）等三家英国保险机构合作发布了该指南。

去年，议会对勒索软件进行了审查，发现勒索软件是英国公司面临的最大日常网络安全威胁，并呼吁就如何避免攻击后支付赎金提供更详细、更易懂的指导。

审查还呼吁保险业作为事件响应的召集者和公司网络复原力的推动者发挥更大的作用。

该指南由英国皇家联合服务研究所（Royal United Services Institute）的一篇研究论文发展而来，由 NCSC 首席执行官Felicity Oswald宣布，该倡议有三个目标--挫败网络犯罪分子的利润、减少对受害者的伤害以及加强整个市场的纪律。

除了不支付赎金外，该指南还建议企业对勒索软件攻击的业务影响、报告协议以及从何处获得支持进行全面评估。

Oswald说："NCSC不鼓励、不支持也不宽恕支付赎金的行为，认为支付赎金就能使事件消失或使受害者今后不再头疼，这是一种危险的误解。" "事实上，支付的每一笔赎金都向犯罪分子表明，这些攻击是有结果的，是值得去做的。"

据 IUA 公共政策总监Helen Dalziel称，为应对网络攻击而支付赎金的情况正呈下降趋势。"企业正在意识到还有其他选择，本指南进一步说明了企业如何提高运营复原力以抵御犯罪要求。"

Oswald还对英国保险业的参与表示欢迎。她说："看到保险业的各个角落团结起来，为受害组织提供指导支持，帮助他们更好地了解自己的选择，减少对业务的伤害和干扰，这确实令人鼓舞。"

与此同时，BIBA （the British Insurance Brokers’ Association；英国保险经纪人协会）对该指南表示欢迎，认为它 "切实帮助了企业在危机中制定计划和采取应对措施，重要的是鼓励企业在支付赎金之前考虑其他应对网络攻击的方法，并与任何外包的 IT 部门合作，以确保采取联合应对措施"。

本文原载于“信保民工”微信公众号，如有转载或复制请联系“信保民工”，版权归原作者所有，侵删