外包IT与网络安全的关键风险：英国经济安全面临威胁

事件概述

近期，英国三家大型企业——Co-op集团、玛莎百货(M&S)和捷豹路虎(JLR)——相继遭受重大勒索软件和/或勒索攻击。这三起事件有一个共同点：在过去五年中，它们都将关键的IT和网络安全服务外包给了塔塔咨询服务公司(TCS)。

据网络监控中心估计，Co-op和M&S遭受的攻击造成的损失约为5亿英镑，零售行业组织也给出了类似的数字。

玛莎百货：保险公司遭受"全塔损失"，成本超过M&S的1亿英镑保险覆盖范围。M&S预计网络保险仅能覆盖总成本的一半左右。

Co-op集团：没有网络保险覆盖，因此拒绝支付赎金，这导致他们遭受了青少年黑客最严重的攻击升级。

捷豹路虎：目前损失尚不明确，BBC估计每天损失约1000万英镑，至今总计约1.5亿英镑。而《每日电讯报》声称JLR每天损失7200万英镑，如果准确，当前总额将超过10亿英镑。

这些事件不仅影响了直接受害企业，还产生了连锁反应。BBC报道称，捷豹路虎供应商（许多是中小型企业）的下游影响正在导致员工被解雇。现在越来越多的人呼吁英国政府建立休假计划，用纳税人的钱支付供应商以保留员工。

为了提供股东价值，大型组织有动力将核心IT和网络安全功能外包给国外的低成本托管服务提供商。当遭受勒索软件攻击时，保险将覆盖支付赎金的成本（一些保险公司实际上会推动向犯罪集团付款，以覆盖潜在损失）。

这种循环助长了勒索软件经济，犯罪集团可以将获得的资金重新投资于购买漏洞利用工具和获取其他组织的初始访问权限。由于勒索软件是笔大生意，许多犯罪集团的研究和开发资金远远超过他们攻击的组织。

Co-op集团与TCS的合作关系始于十多年前，但在2017年左右开始将关键IT服务外包给TCS。作者当时管理着他们的安全运营中心。他们将IT服务台（被认为是事件的入侵点）外包给TCS，将员工转移到TCS，并最终裁减了职位。

2019年底作者离开组织后，他们后来将作者的团队——网络安全运营中心——以及其他各种关键网络安全服务完全外包给了TCS。

玛莎百货在类似的时间开始与TCS建立关系，也将关键IT服务外包并裁减员工。这包括他们的IT服务台——也是事件的入口点。随着这种关系的发展，他们也开始将网络安全功能的各个要素外包给TCS。

捷豹路虎遵循类似的模式。他们将IT的关键领域外包给TCS，然后继续将网络安全的部分外包给TCS，包括安全运营、治理风险与合规以及身份和访问管理。

托管服务提供商本身并不坏。对于小型企业来说，优秀的MSP可以提升组织能力，使其获得由于规模限制而无法正确部署和管理的技术。

但是，当涉及拥有数万名员工的组织时，当他们将网络风险和合规性、网络安全运营、密码重置服务台等领域外包时，他们承担的风险水平就变得非常值得怀疑。

MSP依赖共性来扩展规模。他们使用覆盖大量客户的团队。他们运营的IT服务台根据你拨打的电话号码，提供以该公司名称定制的服务——但接电话的人同时处理多个任务，只看到你拨打的号码，调出该公司流程，并与你运行脚本。这很容易被滥用，操作员也很容易犯人为错误。

MSP使用标准操作程序。他们将在数千个其他组织中管理Active Directory、存储阵列、VMware集群等。他们把一切都写下来，一切都记录在案。如果你是攻击者，这很容易被滥用。

资本主义鼓励降低成本。CIO希望或在某些情况下必须每年削减10%的预算。但是当我们达到英国政府可能不得不使用纳税人的钱支付JLR的供应商不工作，而JLR却录得创纪录利润的地步时，我们应该问自己——这里的激励机制是否给英国带来了经济风险？

正如Ciaran Martin所指出的，当前我们有着全面的法律义务来保护数据，但没有全面的法律义务来保护服务。即使英国有待出台的新立法，也只有关键重要的公司会被覆盖。

数据安全和服务连续性都很重要，但它们完全不同——这相当于组织遭受有人潜入你的房子复制敏感信息，或者有人打你的脸并打断你的腿。两者都令人不快且有破坏性，但它们是截然不同的经历，有着非常不同的影响。

作者认为英国政府应该：

当英国政府不得不考虑紧急休假计划来正确保护JLR供应商的工作时，这不仅仅是煤矿中的金丝雀死亡的迹象，而是煤矿即将坍塌在人们身上的征兆。

作者坚信英国可以在整个话题上引领方向，公民社会会因此变得更好。作者也相信我们不仅能够，而且必须这样做——选择在于我们是在事情变得非常错误时做出反应，还是现在就开始行动。