重大网络攻击损失可能大于自然灾害损失

前情提要

美国机构周一发布的一份报告显示，对美国重要的主要公用事业或服务提供商进行重大网络攻击的损失可能等同于飓风等自然灾害的所造成的损失。

具体内容

该报告由捍卫民主基金会 (FDD) 和保险集团 Intangic 的专家汇总，使用 Intangic 开发的风险评级系统来估计两种破坏性网络攻击的影响。

调查结果估计，为数百名客户提供各种关键领域 IT 服务的托管服务提供商在为期三天的网络中断中，可能会导致近 800 亿美元的经济损失，这已超过 2012 年飓风桑迪造成的 650 亿美元的损失。

如果对区域电力公司等关键公用事业公司进行攻击，损失会更大，Intangic 估计，造成电力中断五天的违规行为将耗资约 1,935 亿美元，超过 2005 年卡特里娜飓风和2018 年加州野火。

报告称：“网络漏洞对美国经济构成系统性风险。”

该报告是在对关键组织进行网络攻击之后发布的。

5月份网络攻击组织对提供东海岸 45% 燃料供应的 Colonial Pipeline 进行勒索软件攻击，迫使该公司关闭管道近一周，导致汽油短缺。美国最大的牛肉供应商 JBS USA 不久后遭到勒索软件攻击，也破坏了一条关键的食品供应链。

联邦调查局将两次攻击都归咎于可能来自俄罗斯的网络犯罪集团。虽然联邦调查局评估这些团体不是克里姆林宫支持的，但对俄罗斯窝藏网络犯罪分子的担忧是双方之间的谈话话题。拜登总统和俄罗斯总统弗拉基米尔普京在他们最近在瑞士举行的面对面峰会上不可避免的会提到。

在美国和世界各地疫情期间，对医院、医疗保健系统、学校和政府机构的攻击也激增。其中包括 SolarWinds 黑客，它允许俄罗斯黑客在一年内入侵 9 个美国政府机构和 100 个私营部门团体。

“针对美国经济几乎所有部门的都遭受了网络攻击和勒索软件攻击，市场本身未能说服私营部门相信最低水平的网络卫生的必要性，”FDD 中心高级主管马克蒙哥马利 (Mark Montgomery)在关于网络和技术创新的一份声明中说。

“这篇论文为政策制定者提供了数据，表明需要政府采取行动来解决这种市场失灵的问题，”他补充道。

该报告呼吁国会批准一项全国性的违规通知法，以强制所有受到网络攻击的公司，无论客户数据是否受到影响，都要报告违规行为。

立法者正在考虑这样做。参议院情报委员会主席的法案草案D-Va., 副主席 R-Fla. 和 Sen R-Maine包括要求联邦机构、联邦承包商以及关键基础设施的所有者和运营商在 24小时内向网络安全和基础设施安全局报告网络安全事件。

卢比奥上周告诉希尔说，当参议院从 7 月 4 日休会结束时，该法案可能在接下来一周正式提出。

来源：E安全