IT外包风险:英国经济安全面临的关键网络安全挑战
最近,英国三家大型企业——Co-op Group、玛莎百货和捷豹路虎——相继遭遇了重大勒索软件和/或敲诈勒索事件。这些事件有一个共同点:在过去五年中,它们都将关键的IT和网络安全服务外包给了塔塔咨询服务公司(TCS)。
事件成本估算
这些事件的成本估算各不相同,但网络监控中心估计Co-op和玛莎百货的损失约为5亿英镑。玛莎百货在事发数月后仍在恢复系统,而Co-op Group的关键IT系统瘫痪超过一个月。
在玛莎百货案例中,其保险提供商遭受了"全塔损失",成本超过了玛莎百货1亿英镑的保险覆盖范围。Co-op Group没有网络保险覆盖,因此拒绝支付赎金。
捷豹路虎目前已全面停产15天,员工仍不知道IT系统何时能恢复。BBC估计其每日损失约为1000万英镑,目前总计约1.5亿英镑,但这仅包括利润损失。
更广泛的影响
这些事件不仅影响了涉事企业,还对供应链产生了连锁反应。BBC报道称,捷豹路虎供应商(许多是中小型企业)的下游影响正在导致员工被解雇。现在有越来越多的呼声要求英国政府建立休假计划,用纳税人的钱支付供应商以保留员工。
根本问题
为了提升股东价值,大型组织倾向于将核心IT和网络安全功能外包给国外的低成本托管服务提供商。当遭遇勒索软件攻击时,保险会覆盖赎金支付,这进一步助长了勒索软件经济。
外包历史
- Co-op Group大约在2017年开始将关键IT服务外包给TCS
- 玛莎百货在类似时间开始与TCS合作
- 捷豹路虎遵循相似模式,外包了IT关键领域
托管服务提供商的问题
MSP依赖共性来扩展规模,使用覆盖大量客户的团队。他们使用标准操作程序,管理数千个组织的Active Directory、存储阵列和VMware集群。这些文档化的流程容易被攻击者滥用。
激励机制问题
资本主义鼓励降低成本,CIO们希望或必须每年削减10%的预算。但当英国政府可能不得不用纳税人的钱支付捷豹路虎供应商时,我们需要问自己:这些激励措施是否给英国带来了经济风险?
数据保护与服务连续性的不平衡
目前,我们有全面的法律义务来保护数据,但没有全面的法律义务来保护服务。即使在英国即将出台的新立法中,也只有关键重要的公司会被覆盖。
建议措施
- 推进立法,强制公司披露是否支付了赎金,并禁止关键基础设施支付赎金
- 要求制定计划,准备禁止英国公司支付所有网络赎金
- 教育大型组织关于第三方服务提供商的风险
- 探索关于保护关键服务的网络韧性立法
- 制定计划化解勒索软件经济
英国不仅能够在这个整个话题上引领方向,而且必须这样做——选择是在事情变得非常糟糕时做出反应,还是现在就开始行动。