衡量勒索軟體攻擊的真實成本

勒索軟體為組織帶來高昂成本已不是什麼秘密。事實上，贖金的平均金額將近 100 萬美元。但這只是開始而已。勒索軟體攻擊的實際成本遠遠超出了支付贖金的範圍，全部加起來可能是要求贖金的 7 倍。在這篇部落格文章中，我們將探討如何計算勒索軟體攻擊的真實成本。

讓我們從最明顯的成本開始：贖金本身。贖金的要求範圍從 10,000 美元到數百萬美元不等，目前為止最高的要求是 7,000 萬美元。在許多情況下，贖金要求是以目標公司年營收的百分比（通常約 3%）來計算。就整體成本而言，專家估計，加起來的贖金款項只佔勒索軟體攻擊總成本的 15% 左右。真正的問題在於，只有七分之一支付贖金的組織能夠真正取回資料。

勒索軟體攻擊的大部分成本來自於停機和恢復。遭受勒索軟體攻擊後，企業平均需要 22 天才能恢復正常運作。在許多情況下，停機成本可能是贖金要求的 50 倍。整個企業必須將重點轉向恢復作業，從 IT 部門恢復資料、恢復營運，到行銷部門處理危機通訊，還有喪失生產力和引進承包商來協助加速恢復工作，都會使成本迅速增加。此外，勒索軟體攻擊通常會暴露組織安全基礎架構中的弱點，進而導致昂貴的重建和部署新技術來增進網路安全。

根據 IBM 最近的一項研究，勒索軟體攻擊的平均成本為 462 萬美元（不包括實際支付的贖金）。

在您還原資料並且業務恢復運作之後，勒索軟體攻擊的成本可能還會持續很長時間。對於某些組織而言，當客戶的財務和個人資料遭到攻擊時，集體訴訟就很常見。這些訴訟可能會讓企業付出數千萬美元的代價來解決。聲譽受損也可能導致營收大幅損失，在極端情況下，客戶會將業務移往其他地方，因此可能導致業務終結。

為了回收勒索軟體攻擊的成本，許多組織都制定了網路保險政策。很遺憾，並非所有組織都符合該政策的資格，而且政策並不一定能涵蓋與攻擊相關的所有成本。在企業遭受攻擊後，公司的保險費將會大幅上漲，增加了攻擊的後續成本。

更糟的是，企業被勒索軟體攻擊成功之後，遭受第二次攻擊的可能性就會增加。事實上，報告指出，80% 支付贖金的組織受到了第二次威脅。

2021 年有 576 家美國組織成為勒索軟體的受害者，光是由此造成的停機損失就高達 1594 億美元。與估計支付的 13 億美元贖金相比，您可以看到勒索軟體攻擊的真正成本在哪裡。

Check Point Research 詳細分析了一些現實環境中勒索軟體攻擊的成本。

支付的贖金只佔勒索軟體攻擊信任成本的一小部分，為了控制成本，您必須有能力偵測攻擊並快速回應以將損害降至最低。適當的資料安全和資料保護方案有助於防範攻擊，並可協助您快速恢復，並避免停機和資料遺失的高昂成本。

請立即啟動勒索軟體防護策略，若要瞭解貴組織應該如何消除網路安全漏洞，請參閱 NetApp^® 網路恢復能力和勒索軟體防護解決方案。