在2024年第二季度,对“人工智能(AI)增强型恶意攻击”的担忧再次荣登Gartner的新兴风险排名榜首。此外,关于“软勒索软件目标”的新担忧也成为企业风险管理的首要问题。
Gartner风险与审计实践研究主管Gamika Takkar表示:“与人工智能增强的恶意攻击类似,软勒索软件目标只需很少的经验和成本就能造成重大的财务和声誉损失。”
在2024年第二季度,Gartner调查了274名高级风险管理人员和经理,以记录和比较新出现的风险,这些风险是指那些由于其演变迅速,非线性或两者兼有而具有更高不确定性的风险。
被提及最多的五大新兴风险中,有三个属于技术类别(见表1),而对“软勒索软件目标”的新担忧首次进入该名单。“不断升级的政治两极分化”于2023年第四季度首次进入前五,并且一直稳居第三。而“组织人才状况失调”则从第五上升至第四。
软勒索软件目标的原因
软勒索软件目标包括那些由于投资不足或技术债务而特别容易受到勒索软件攻击的系统,当攻击发生时,会导致业务运营中断更长时间。通过所谓的勒索软件即服务(RaaS),可以轻松实施此类攻击,这使得即使是经验和技术技能最少的网络犯罪分子也可以以低成本部署攻击。
Takkar说:“勒索软件即服务降低了缺乏经验的网络犯罪分子的进入门槛,他们只知道如何攻击和破坏业务运营,因此在攻击发生时会造成比平时更严重的影响。”
需要减轻的潜在后果
“软勒索软件目标”的潜在影响包括运营中断和服务延迟,增加遭受多重勒索的风险(例如,勒索要求在出售、发布或永久删除数据的威胁之后),以及以直接和间接成本形式增加财务负担。直接成本包括赎金、补救、诉讼和公共关系,而间接成本,如声誉损害和知识产权损失,也会给组织带来负担。
Takkar表示:“虽然运营中断和成本增加是‘软勒索软件攻击’造成的严重后果,但遭受勒索的不仅仅是组织本身,还会影响所有相关的第三方,这进一步凸显了了解和预防此类风险的重要性。”