最近，英国三家大型公司——Co-op集团、玛莎百货（Marks and Spencer）和捷豹路虎（Jaguar Land Rover）——接连发生了三起重大的勒索软件和/或勒索事件。它们之间有一个共同点：在过去5年里，它们都将关键的IT和网络安全服务外包给了塔塔咨询服务公司（TCS）。我并不是说TCS不好，或者完全负有责任。但我想剖析这里正在发生的事情，因为更广泛的背景非常重要。

关于这些事件的损失估算各不相同，但网络监控中心（Cyber Monitoring Centre）估计Co-op和玛莎百货的损失约为5亿英镑——零售行业组织的估算也大致在这个范围。

网络监控中心估计英国零售业攻击成本达4.4亿英镑 链接：www.computing.co.uk

事件发生数月后，玛莎百货仍在恢复系统，而Co-op集团的关键IT系统停摆超过一个月。

对于玛莎百货，其保险公司遭遇了“全塔损失”，这意味着成本超过了玛莎百货1亿英镑的保险覆盖范围。玛莎百货预计网络保险政策将覆盖总成本的大约一半。Co-op集团没有网络保险覆盖，因此拒绝支付赎金，这也是为什么他们在媒体上引起了涉事青少年黑客最严重的攻击升级。

在我撰写本文时，捷豹路虎已全面停产15天。进入第三周，员工仍不清楚IT系统何时能恢复，汽车生产何时能重启。

捷豹路虎目前的损失尚不明确——BBC报道估计每天损失约1000万英镑，因此截至目前总损失大约在1.5亿英镑。然而，这“仅仅”是利润损失——当你把网络安全事件响应、法律费用和其他一切成本考虑在内，再加上事件仍未解决、服务尚未恢复的事实——总损失极有可能大幅上升。

《电讯报》声称捷豹路虎每天损失7200万英镑，如果准确，当前总损失将略超10亿英镑。

捷豹路虎停产可能持续至11月 链接：www.telegraph.co.uk

结果呢？仅这三起事件就可能让相关机构总共损失约10亿英镑。唯一被逮捕的嫌疑人已被保释，数月后仍未受到指控，且大多是青少年。其中一些嫌疑人在英国有类似事件的前科……但他们只是不断地“持续作案”。

但问题是，10亿英镑。听起来很糟糕……但它们是私营公司，谁在乎呢？

BBC报道称，捷豹路虎在过去一年中盈利略超20亿英镑。它们也承受得起打击。毕竟，通过外包给TCS，它们节省了大量资金。

以下内容可能会让你在意。

BBC还报道，捷豹路虎对其供应商（许多是中小型企业）造成的下游影响正在导致员工被裁员。现在有越来越多的呼声要求英国政府动用纳税人的钱设立休假计划，向供应商支付费用以保留员工，而捷豹路虎则试图恢复其大部分已外包的IT系统。

捷豹路虎：一些供应商因黑客危机“面临破产” 链接：www.bbc.co.uk

本质上，我们最终陷入这样一种境地：为了创造股东价值，大型组织有动力将核心IT和网络安全职能外包给国外的低成本托管服务提供商——然后在遭受勒索软件攻击时，保险会覆盖支付赎金的费用（一些保险公司实际上会推动向犯罪集团支付赎金，以覆盖其潜在损失）。

这种循环助长了勒索软件经济，同一犯罪集团随后可以将资金再投资于购买漏洞利用工具和获取其他组织的初始访问权限。因为勒索软件是如此大的生意，许多集团的研究和开发资金远远超过它们攻击的组织。尤其是在它们攻击的组织已将关键领域外包给低成本提供商的情况下。

最终效果是勒索软件和勒索组织持续获得更多组织的访问权限，并危及英国的经济安全。它们迟早会攻击到某种直接影响数百万人的英国关键服务——到那时，数百万人会质问，针对这个问题采取了什么措施。答案是：远远不够。当我们不得不考虑紧急的捷豹路虎供应商休假计划以正当保护就业岗位时，这不仅仅是“煤矿中的金丝雀已死”的迹象，而是煤矿本身即将坍塌的征兆。

我们如何走到这一步

Co-op集团与TCS的合作关系始于十多年前，但真正开始将关键IT服务外包给TCS大约在2017年。当时我管理着他们的安全运营中心。他们将IT服务台（被认为是事件的入侵点）外包给了TCS，将员工转移到TCS，并最终裁减了岗位。

当时，我在安吉尔广场一号的公共大厅拍了这张照片，一位同事写道，他们正在努力将公司卖给塔塔（TCS），作为“增长燃料”计划的一部分：

同事们并不高兴

我于2019年底离开该组织后，他们后来将我的团队——网络安全运营中心——以及其他各种关键的网络安全服务全部外包给了TCS。该团队的任务是检测未经授权的访问。他们还将更多IT团队集中化，然后在2020年左右将这些服务也转移给了TCS，在此过程中裁减了同事的岗位：

英国合作社集团将集中各部门IT团队，警告裁员…… 塔塔咨询服务公司将负责应用程序和基础设施支持——哦，还有安全。 链接：www.theregister.com

Co-op集团在上一财年录得1.61亿英镑的税前利润。

玛莎百货大约在同一时期开始与TCS合作，同样外包了关键的IT服务并裁减了员工：

玛莎百货将半数技术岗位外包 其430人IT团队中的约250个职位将转移给印度科技巨头塔塔咨询。 链接：www.bbc.co.uk

这导致了裁员。这包括他们的IT服务台——同样也是事件的入口点。据我了解，随着这种合作关系的发展，他们也开始将网络安全职能的部分内容外包给TCS——包括负责检测未授权活动的团队。

玛莎百货在上一财年录得8.76亿英镑的税前利润。

捷豹路虎遵循了类似的模式。他们将关键的IT领域外包给TCS。然后继续将部分网络安全内容外包给TCS，包括安全运营、治理风险与合规，以及身份和访问管理。尽管员工通过TUPE转移，但许多人后来被裁减。这种TUPE模式在多家机构中重复。

捷豹路虎在上一财年录得25亿英镑的税前利润，这是他们十年来最好的业绩。

TCS否认一切

他们并非如此。TCS否认他们的系统被攻破。他们对这一问题的声明应仔细分析，以看清他们到底在做出或回答什么样的声明。

网络安全行业众所周知，LAPSUS$团伙的孩子们一直在打电话给服务台并要求访问权限，并且轻易就能获得。TCS提供了这项跨客户共享的服务台服务。当TCS在环境中拥有域管理员权限并管理IT服务时，问题不是“TCS是否被攻破？”，而是“TCS的客户是如何被攻破的，以及你是否提供了这些服务？”

在网络安全行业，关于TCS有很多传闻并非秘密——我在一线听到过诸如“糟糕的网络服务”这样的称呼。而且相关的网络迷因已经流传了一段时间。

100000000000% 认证

另外，你也知道，多年来所有的Reddit帖子，例如： 链接：Reddit上的相关讨论

MSP不好吗？

不。托管服务提供商本身并不坏。特别是对于小型企业，一个优秀的MSP可以提升组织的技术水平，使其能够部署和管理因规模限制而无法妥善处理的技术。

然而——当你谈论的是拥有数万名员工的组织时，当他们将网络风险与合规、网络安全运营、密码重置服务台等领域外包出去——他们就承担了一定程度的风险，我认为，这变得非常值得质疑。这不仅仅是风险——这是可能也确实会具体化的风险。当整个公司“心脏病发作”时，那10%的预算节省看起来就不那么诱人了。

MSP依赖共性来实现规模经济。例如，他们使用覆盖大量客户的团队。他们运行IT服务台，根据你拨打的电话号码，你会得到一个以该公司名称定制的服务——例如，TCS运行一个微软前线员工IT服务台。但接听电话的人同时处理多项任务，他/她只看到你拨打的号码，调出该公司的流程，并按照脚本与你沟通。这很容易被滥用，操作员也很容易犯人为错误。

MSP使用标准操作程序。他们将管理成千上万家其他组织的Active Directory、存储阵列、VMware集群等。他们把一切都记录下来。一切都有文档。如果你是一名攻击者，这很容易被滥用。这些东西是公司跳动着的心脏。

同样，许多MSP的薪酬极低，并且有MSP员工接受贿赂的例子。考虑到他们拥有的访问级别——例如能够为管理用户重置MFA令牌——支付极低的工资不仅风险高，而且非常愚蠢。

激励措施失灵

资本主义鼓励降低成本。首席信息官们希望，或者在某些情况下必须每年削减10%的预算。但是，当你到了英国政府可能不得不动用纳税人的钱来支付捷豹路虎的供应商以不工作，而捷豹路虎却录得创纪录利润的地步，我们应该问问自己——这里的激励机制是否给英国带来了经济风险？

面对近10亿英镑的损失，你会认为保险公司会遭受重创并高度警惕。不。保险公司对这些事件非常兴奋，目前正全力以赴从中获利：

玛莎百货攻击可能是赢得新网络业务的关键 虽然玛莎百货有网络保险政策，但Co-op和哈罗德没有，《保险内幕》透露。 链接：www.insuranceinsider.com

网络安全事件响应提供商也同样喜欢这些事件——在谷歌上搜索任何这些漏洞，或者勒索软件，就会发现这是繁荣时期。可悲的是，网络安全行业很大一部分的利润来源是勒索软件——这就是为什么围绕禁止支付赎金一直存在游说阻力。

谁不喜欢勒索软件呢？受害机构、那些学校因频繁发生甚至无法成为新闻的事件而关闭的学生、在几乎不上新闻的勒索软件事件中数月无法使用市政服务的人们……名单很长。

我们已经对勒索软件习以为常。

随着勒索软件和勒索组织转向航空公司、食品生产、仓储和其他行业，这个名单还会变长。你可能会想——凯文——他们已经在做这些事了。他们几乎还没开始。他们有一个目标丰富的环境。受害者并不短缺。

因为他们知道大公司将服务台外包给了超低成本提供商，威胁增加了。因为他们知道组织已将关键IT系统外包给了拥有3940个其他客户的提供商，并且他们根据流程图和SOP文档进行管理，风险增加了。

因为组织正忙于尝试将所有事情自动化，并将IT置于一切的核心以降低成本，风险和威胁也随之增加。

当你将成本压力、资本主义、自动化和数字经济结合起来时——这里已经形成了风险。许多组织在成本方面实质上正在进行一场逐底竞争。逐底竞争结局不会好。

数据保护

Ciaran Martin写了一篇非常好的LinkedIn帖子，让我深思：

同意凯文·博蒙特关于捷豹路虎黑客攻击的看法 链接：www.linkedin.com

我引用他的话：

那么，为什么我们在这样的案件中还在喋喋不休地谈论个人数据，好像它是主要问题？它很重要。但汽车制造商并不持有太多关于其客户的有趣数据。这里的主要问题是中断，而不是数据丢失。

问题的一部分在于，目前我们有全面的法律义务来保护数据，但我们没有全面的法律义务来保护服务。即使在英国即将出台的新立法中，也只有至关重要的公司会受到覆盖。

我个人的看法是，我们需要仔细审视这种（不）平衡。数据安全和服务连续性都很重要。但它们截然不同——这相当于组织层面上有人偷偷潜入你的房子复制你的敏感信息，或者有人打了你的脸并打断了你的腿。两者都令人不快且具有破坏性，但它们是截然不同的体验，有着非常不同的影响。

然而，法律和实践告诉我们更担心前者而不是后者。这难道不奇怪吗？

他说得对。我之前没有想过这个问题。例如，媒体在头两天之后几乎再未提及捷豹路虎事件——除了他们承认“一些数据”可能受到影响时。这又成了一个新闻周期。但是……为什么？这里的主要影响是英国政府可能不得不实际上救助汽车行业。而不是一些数据可能被盗。

公司高度关注立法——这是正确的，GDPR证明了立法是有效的。然而，尽管在大多数大型组织中，对数据保护的关注度非常高，但坦白说，对网络韧性的关注几乎不存在。

许多组织认为IT灾难恢复计划可以应对勒索软件。并非如此。勒索软件组织做的第一件事就是删除备份和恢复系统，然后再破坏其他任何东西。我与一家又一家企业交谈过，他们对勒索软件的真实计划很简单：保险覆盖，我们会支付。任何经历过这些事件的人都会告诉你两件事：你的业务IT会“心脏病发作”，支付赎金不等于恢复。在几乎所有情况下，即使支付了赎金，恢复也需要数周到数月时间。真正的风险——这种风险经常具体化——是有人故意试图通过IT手段“烧毁你的总部”。在几乎所有情况下，当这种情况发生时，组织不知道该怎么办——然后就像拨打火警电话一样联系国家网络安全中心（NCSC）和国家犯罪调查局（NCA）。但它们不是消防队。

如果你查看玛莎百货的网站，他们有一个3页的高管和C级人员名单，控制着业务的每一个重要方面——但名单上没有网络安全负责人。这个角色是存在的……但甚至不被认为重要到足以在网站上列出。捷豹路虎和Co-op集团也是如此。

我认为英国政府应该做什么

我认为英国可以在几个方面发挥领导作用：

1. 推进立法，强制公司披露是否支付了赎金，并禁止关键基础设施支付赎金。
2. 要求制定计划，准备禁止所有英国公司支付或代为支付网络赎金。这并不意味着必须实施。这意味着应该有相应的计划，以备我们需要拉动这个杠杆。这也是一种意图的信号——包括向董事会表明“直接支付”是一个糟糕的计划。
3. 需要对大型组织就其对提供绝对关键服务的第三方服务提供商所承担的风险水平进行教育——其中一些服务应该由内部负责，妥善管理，并作为开展业务的成本加以保护。
4. 需要进一步探索关于保护关键服务的网络韧性立法。如上文白板上所见的“被卖给塔塔”，可能不仅仅发生在Co-op。只是外界没有人意识到正在发生。
5. 需要有一个计划来化解勒索软件经济，即使这意味着要反击网络安全供应商行业。激励措施必须重新调整。

我真的相信英国可以在整个议题上引领潮流，公民社会会因此而受益。我也相信我们不仅能够，而且必须这样做——选择在于我们是在事情变得非常糟糕时做出反应，还是现在就开始行动。