勒索攻击发生后，企业瞒着有用吗？

近日，高端音响品牌BOSE在给新罕布什尔州司法部长John Formella的信中透露出一个不太好的消息：“2021年3月7日，BOSE首次在其美国系统上检测到恶意软件和勒索软件。”

企业遭遇勒索攻击本不是什么新鲜事，毕竟前面已经无数企业也曾被勒索攻击，有的还因此缴纳了不菲的赎金。令人无法忍受的是，3月7日遭遇勒索攻击为什么现在才公布，难道用户和品牌合作方连最起码的知情权都没有吗？

信中，BOSE称“经历了一次复杂的网络事件，导致恶意软件和勒索软件趁虚而入”，但却没有披露任何和攻击者相关的信息。

目前可以知道的是，勒索软件攻击者设法访问了BOSE人力资源内部管理文件，其中包括部分员工的社会安全号码、地址和薪酬信息。但是BOSE未确认攻击者窃取了信息，并表示已经和安全公司、FBI全力搜索了暗网相关信息，未发现任何数据泄露信息。

随后，BOSE在安全公司的帮助下调整了企业网络安全设备部署，并采取了一定的保护措施防止该攻击继续渗透。

虽然我们无法得知此次勒索攻击的具体情况，但可以肯定的是，BOSE故意隐瞒勒索攻击的做法开了一个很坏的头。

倘若所有的企业都像BOSE一样隐瞒不报，那么攻击者将会有充足的时间处理被泄露的数据，而品牌合作方也因此陷入威胁之中，造成勒索攻击的连锁反应和长尾效应，甚至将会降低整个社会的网络安全防护能力，也给勒索攻击者提供了更多的跳板。

近日，达美乐给用户发送了电子邮件，并表示公司在3月24日遭受了黑客攻击，公司迅速采取行动遏制了违规行为，并聘请了外部机构进行影响评估。

此次受影响的主要是1.8亿来自印度的客户，泄露数据包括邮件地址、手机号码以及客户的经度和纬度信息，并且黑客表示将很快公开付款细节和员工档案。达美乐强调，与客户的财务信息有关的任何数据都没有受到损害。因为该公司原本就不会存储用户的详细财务信息，例如完整的信用卡号、CVV、密码等。

虽然达美乐已经向有关当局进行了事件上报，并且向网络犯罪小组提出了投诉，及雇用了一家全球法证机构来调查安全问题。

但问题是，太晚了。早在4月份达美乐泄露的相关数据已经在暗网上进行销售，公司的有意瞒报和患慢行动，让黑客有充足的时间消化这些数据。

这样的骚操作也并不是国外专属，国内企业也有。

据美国媒体凯勒网称，5月17日，位于广州的某房地产企业遭勒索病毒家族Sodinokibi/REvil攻击，导致内部大量设备宕机，同时还有多达3TB的重要数据被窃取。随后，黑客向该公司勒索400美元作为赎金，并于5月24日在暗网中公布了部分数据——如身份证截图、商业合同截图、业主照片等重要私人信息，以示威胁。

该企业员工的微博也证实了这一勒索攻击事件，勒索金额高达400万美元，并且必须要以比特币等数字货币进行结算。

而此次攻击事件也导致整个集团的网络无法使用，导致全公司都无法办公，好几天内，都不得不采取最原始的方式沟通和办公。该公司也在第一时间告诉全体员工，注意保护自己的资料，避免损失扩大。

而后，该公司的迷之操作来了，从勒索事件发生后，公司并未按照正常的逻辑发布相关安全通告，而是想着先隐瞒下来，努力将这一消息控制在小范围内，避免舆论发酵。

但是，在互联网自媒体时代，这样的消息真的瞒得住吗？一旦被用户知晓势必会引发更大的舆论，让品牌蒙受更大的伤害。毕竟一个没有担当且应急响应又非常慢的房企，谁又能放心他们家房子的质量？

对此，有专家表示，无论企业属于何种行业、是否上市，掩盖或拖延事件披露的做法长期来看，将会阻碍改善网络卫生状况、抵御未来攻击的能力。

很多公司都认为，隐瞒被攻击的事实，用户就不会知晓，而这次攻击就不存在了？殊不知，即便这次勒索攻击被瞒住了，但也给企业留下了安全隐患，如果再次遭遇网络攻击，此前的隐瞒和拖延将被曝光，到那时候才是新账旧账一起算，必定对品牌和声誉将产生更为严重的损害。

那时候，安全人员又该如何自处？怕不是又要被公司推出来，背起那一顶天大的锅。