最近，英国三家大型公司——Co-op Group、Marks and Spencer 和 Jaguar Land Rover——接连发生了三起重大的英国勒索软件和/或勒索事件。它们有一个共同点：在过去的5年里，它们都将关键的IT和网络安全服务外包给了塔塔咨询服务公司。我并不是说TCS很糟糕，或者完全有过错。但我想剖析这里发生的事情，因为更广泛的背景很重要。

对于这些事件的成本估计各不相同，但网络监控中心估计Co-op和M&S的损失约为5亿英镑——零售行业组织给出的数字也大致如此。

几个月后，Marks and Spencer仍在恢复系统，而Co-op Group在超过一个月的时间里失去了关键的IT系统。

对于Marks and Spencer，他们的保险公司遭受了“全塔损失”，这意味着成本超过了M&S的1亿英镑保险覆盖范围。M&S预计网络保险单将覆盖总成本的大约一半。Co-op Group没有网络保险，因此拒绝支付赎金，这就是为什么他们遭到涉事少年黑客最严重的升级攻击。

Jaguar Land Rover目前正处于汽车全面停产的第15天。在我撰写本文时，已超过两周，员工仍然不知道IT系统何时能恢复，以便汽车生产可以重启。

Jaguar Land Rover迄今的成本目前尚不清楚——BBC报告估计每天约为1000万英镑，因此目前累计约1.5亿英镑。然而，这“仅仅”是利润损失——当你把网络事件响应、法律费用和其他所有因素考虑进去，再加上事件仍未解决、服务仍未恢复的事实——成本很可能会大幅上升。

《电讯报》称JLR每天损失7200万英镑，如果准确的话，目前的总额将略高于10亿英镑。

结果是什么？仅这三起事件，可能就让相关机构总共损失了大约10亿英镑。唯一被捕的嫌疑人已被保释，数月后仍未受到指控，而且大多是青少年。其中一些嫌疑人之前在英国有类似事件的犯罪记录……但他们就是一直继续作案。

但问题是。10亿英镑。听起来很糟糕……但它们是私营公司，谁在乎呢？

BBC报道称，Jaguar Land Rover在过去一年中利润刚刚超过20亿英镑。他们也能承受得起这样的打击。毕竟，通过外包给TCS，他们省下了很多钱。

下面这一点可能会让你在意。

BBC还报道称，对Jaguar Land Rover供应商（其中许多是中小型企业）的下游影响正导致员工被解雇。现在越来越多的人呼吁英国政府以纳税人的代价设立一项休假计划，向供应商支付费用以留住员工，而Jaguar Land Rover则试图恢复其大部分外包的IT系统。

本质上，我们最终陷入了这样一种局面：为了创造股东价值，大型组织有动机将核心IT和网络安全职能外包给国外低成本的托管服务提供商——然后在遭遇勒索软件攻击时，保险公司会支付赎金（一些保险公司实际上会推动向犯罪集团付款，以覆盖其潜在损失）。

这种循环助长了勒索软件经济，同样的犯罪集团可以将这笔钱重新投资于购买漏洞利用工具并获取对其他组织的初始访问权限。因为勒索软件是如此巨大的生意，许多犯罪集团拥有比他们攻击的组织庞大得多的研发资金。特别是当被攻击的组织已将关键领域外包给低成本供应商时。

最终效果是，勒索软件和勒索集团持续获得更多组织的访问权限，并危及英国的经济安全。他们迟早会攻击到某种直接影响数百万人的英国关键服务——届时数百万人会问正在采取什么措施来解决这个问题。而答案是：做得不够。当我们到了不得不考虑为JLR的供应商紧急设立休假计划以保住就业岗位的阶段时，这不仅仅是煤矿里的金丝雀死了的迹象，而是煤矿本身也即将坍塌在人们身上。

我们如何走到这一步

Co-op Group与TCS的关系始于十多年前，但真正开始将关键IT服务外包给TCS大约是在2017年。当时我管理着他们的安全运营中心。他们将IT服务台——被认为是事件的入侵点——外包给了TCS，将员工转移给TCS，最终使职位变得冗余。

2019年底我离开该组织后，他们后来将我的团队——网络安全运营中心——连同其他各种关键的网络安全服务一起完全外包给了TCS。该团队负责检测未经授权的访问。他们还将更多的IT团队集中起来，然后在2020年左右将这些服务也转移给了TCS，在此过程中使同事们变得冗余。

Co-op Group在上一财年录得1.61亿英镑的税前利润。

Marks and Spencer大约在同一时期开始了与TCS的关系，同样外包了关键的IT服务并裁减了员工。

这导致了裁员。这包括他们的IT服务台——也是事件的入口点。据我了解，随着这种关系的发展，他们也开始将网络安全职能的部分环节外包给TCS——包括负责检测未授权活动的团队。

M&S在上一财年录得8.76亿英镑的税前利润。

Jaguar Land Rover遵循了类似的模式。他们将IT的关键领域外包给TCS。然后继续将部分网络安全工作外包给TCS，包括安全运营、治理风险与合规，以及身份与访问管理。尽管员工通过TUPE被转移，但许多人后来也被裁减。这种TUPE模式在各个组织中重复出现。

JLR在上一财年录得25亿英镑的税前利润，是其十年来最好的业绩。

TCS否认一切

他们并没有。TCS否认其系统遭到入侵。他们关于此事的声明应该仔细解析，看看他们到底在做出或回答什么声明。

在网络行业众所周知，LAPSUS$的孩子们曾致电服务台要求访问权限，并且轻松获得。TCS提供了这项服务台服务，并在客户间共享。当TCS拥有对环境的域管理员权限并管理IT服务时，问题不是“TCS是否被入侵了？”，而是“TCS的客户是如何被入侵的，你是否提供了这些服务？”

在网络行业，有很多关于TCS的故事并非秘密——我听过“Terrible Cyber Service”这样的绰号。相关的恶搞已经流传了一段时间。

多年来，还有，你知道的，所有的Reddit帖子。

MSP不好吗？

不。托管服务提供商并不坏。特别是对于小企业来说，一个优秀的MSP可以提升一个组织的技术水平，使其拥有由于规模限制而无法正确部署和管理的能力。

然而——当你谈论拥有数万名员工的组织时，当他们将诸如网络风险与合规、网络安全运营、密码重置服务台等领域外包出去时——他们承担了一种风险，我认为，这种风险变得非常值得商榷。这不仅仅是风险——这是可能且确实会实现的风险。当整个公司心脏病发作时，那10%的预算节省看起来就不那么美好了。

MSP依赖于共性来扩展规模。例如，他们使用覆盖大量客户的团队。他们运营IT服务台，根据你拨打的电话号码，你会得到一个以该公司名称定制的服务——例如，TCS运行着一个微软前线员工IT服务台。但接电话的那个人同时处理许多事情，只是看到你拨打的号码，调出该公司的流程，然后按照脚本与你对话。这很容易被滥用，操作员也很容易犯人为错误。

MSP使用标准操作程序。他们将在数千个其他组织中管理Active Directory、存储阵列、VMware集群等。他们把一切都写下来。一切都有记录。如果你是攻击者，很容易滥用这些。这些都是公司的命脉。

同样存在的情况是，许多MSP的薪酬低得惊人，而且有MSP员工接受贿赂的例子。考虑到他们拥有的访问权限水平——例如能够重置管理用户的多因素认证令牌——支付极低的工资不仅风险高，而且非常愚蠢。

激励机制失灵

资本主义鼓励成本削减。首席信息官们希望，或在某些情况下必须每年削减10%的预算。但当你达到这样的地步：英国政府可能不得不使用纳税人的钱来支付JLR的供应商以维持运营，而JLR却录得创纪录的利润时，我们应该问问自己——这里的激励机制是否给英国带来了经济风险？

面对近10亿英镑的损失，你会认为保险提供商将遭受重创并高度警惕。不。保险提供商对这些事件非常兴奋，目前正全力从中获利。

网络事件响应提供商同样乐在其中——在谷歌搜索任何这些数据泄露事件，或者勒索软件事件，这都是繁荣时期。可悲的是，网络行业利润的很大一部分来自勒索软件——这就是为什么围绕禁止支付赎金一直存在游说抵制。

谁不喜欢勒索软件呢？受害组织、看到学校因事件关闭的学童（此类事件如此频繁以至于不再成为新闻）、因勒索软件事件数月无法使用市政服务的人（这些事件也几乎不上新闻）……名单很长。

我们已经对勒索软件习以为常了。

随着勒索软件和勒索集团转向航空公司、食品生产、仓储和其他行业，这份名单还会更长。你可能会想——凯文——他们已经这么做了。他们才刚刚开始。他们有丰富的目标环境。受害者并不短缺。

因为他们知道大型组织已将服务台外包给超低成本的提供商，威胁增加了。因为他们知道组织已将关键的IT系统外包给拥有3940个其他客户的提供商，并且他们通过流程图和SOP文件进行管理，风险增加了。

因为组织正忙于尝试自动化一切，并将IT置于一切的核心以降低成本，风险和威胁增加了。

当你将成本压力、资本主义、自动化和数字经济结合起来时，这里就产生了风险。许多组织本质上在进行一场成本竞赛。这种竞赛的结果通常不会好。

数据保护

Ciaran Martin写了一篇非常好的LinkedIn帖子，让我思考。我将引用他的话：

为什么我们还在像谈论主要问题一样，在这种案例中不停地谈论个人数据？这很重要。但汽车制造商并不持有多少关于他们客户的有趣数据。主要的问题在于中断，而非数据丢失。 问题的一部分在于，目前我们有全面的法律义务来保护数据，但我们没有全面的法律义务来保护服务。即使在英国即将出台的新立法中，也只有那些至关重要的公司才会被覆盖。 我个人的观点是，我们需要仔细审视这种（不）平衡。数据安全和服务的连续性都很重要。但它们截然不同——这相当于组织层面遭受有人潜入你的房子复制你的敏感信息，还是有人打你的脸并打断你的腿。两者都令人不快且具有破坏性，但它们是截然不同的体验，有着截然不同的影响。 然而，法律和实践告诉我们更应该担心前者，而不是后者。这不是有点奇怪吗？

他说得对。我之前没有想到这一点。例如，媒体在头两天之后几乎不再提及Jaguar Land Rover事件——除了当他们承认“一些数据”可能受到影响时。这又成为一个新闻周期。但是……为什么？这里的主要影响是英国政府可能不得不实际上纾困汽车行业。而不是一些数据可能被窃取。

公司高度关注立法——这是正确的，GDPR证明了立法是有效的。然而，虽然数据保护在大多数大型组织中备受关注，但对网络韧性的关注——坦率地说——几乎不存在。

许多组织认为IT灾难恢复计划能处理勒索软件。其实不能。勒索软件集团要做的第一件事就是删除备份和恢复系统，然后再破坏其他任何东西。我与一家又一家企业交谈过，他们应对勒索软件的真正计划很简单：保险会覆盖，我们会付款。任何亲身经历过这些事件的人都会告诉你两件事：你的业务IT会心脏病发作，而付款并不等于恢复。在几乎每一个案例中，即使付款，恢复也需要数周到数月。真正的风险——通常会成为现实——是有人试图故意通过IT手段烧毁你的总部。在几乎所有情况下，当这种情况发生时，组织都不知道该怎么办——然后他们会像呼叫消防队一样呼叫NCSC和NCA。但他们并不是消防队。

如果你查看Marks and Spencer的网站，他们有3页的高管和C级人员名单，控制着业务的每一个重要环节——但没有列出任何负责网络安全的人员。这个角色是存在的……但甚至不被认为重要到足以在网站上列出。Jaguar Land Rover和Co-op Group也是如此。

我认为英国政府应该做什么

我认为英国可以在几个支柱方面领先：

• 推进立法，强制公司披露是否支付了赎金，并禁止关键基础设施支付赎金。
• 要求制定计划，准备禁止英国公司支付或代表其支付所有网络赎金。这并不意味着必须立即实施。这意味着应该有关于如何实施此计划的规划，以备我们需要启用这一手段。这也是一种意图的信号——包括向董事会传达“直接付款”是个糟糕的计划。
• 需要对非常大型的组织进行教育，让他们了解与绝对关键服务的第三方服务提供商合作所承担的风险水平——其中一些服务应该内部化、妥善管理，并作为业务成本被隔离保护。
• 需要进一步探索关于保护关键服务的网络韧性立法。正如在上面板子上看到的“被卖给塔塔”，可能不止发生在Co-op。只是外界没有意识到它正在发生。
• 需要制定一个计划来化解勒索软件经济，即使这意味着反击网络供应商行业。激励机制必须重新调整。

我真的相信英国可以在整个话题上引领潮流，公民社会也会因此变得更好。我也相信我们不仅能够，而且必须这样做——选择在于我们是等到事情变得非常糟糕时才做出反应，还是现在就开始行动。