网络监测中心设立"飓风等级制"评估网络攻击损失

CrowdStrike 事件在 2024 年如飓风般席卷英国。它导致航班停飞，迫使医院取消手术，并使数百家企业的计算机系统和网站瘫痪。

自 20 世纪 70 年代初以来，人们可以使用五级风力等级来预测飓风可能造成的损害。

一级飓风可能会损坏屋顶或折断树枝，而在等级另一端，五级飓风可能会使某些地区在数月内无法居住。目前还没有类似的方法来对类似 CrowdStrike 更新这样的网络事件的破坏性影响进行分类 —— 该事件在 2024 年 7 月导致全球 Windows 计算机瘫痪。但这种情况即将改变，今年将启动一项计划，使用五级制来评估重大网络攻击造成的损害。

网络监测中心 (CMC) 是首个此类机构，由保险业设立，作为独立机构评估对英国基础设施和服务具有系统性影响的严重网络攻击。其目标是让企业更容易购买网络保险，并准确了解保险覆盖范围。

评估网络事件影响的方式有很多。可以是因取消医院手术而造成的生命损失，个人身份信息在互联网上泄露造成的破坏，或者政府机密信息泄露给敌对国家的战略影响。

CMC 将只关注一个方面：经济影响。该中心已任命一个由著名专家组成的技术委员会，将网络事件划分为五个等级，从影响数百人的小规模破坏到影响数十万人的灾难性攻击。损害影响从一级事件的不到 1 亿英镑到五级事件的超过 50 亿英镑不等。

该中心计划通过监控新闻报道和企业组织的报告来识别造成多个受害者的重大网络攻击。它与数据提供商建立了合作伙伴关系，以提供有关航班取消和数据中心中断的统计数据，并与 NHS 合作收集有关取消手术和医院程序的数据。它还可以获得法律专家和网络安全专家的建议，帮助建立每个重大网络事件的财务模型。这些模型经过审查和压力测试，最终决定权在 CMC 的技术委员会。

中心的目标是在网络事件发生后 30 天内产生影响报告，重点关注直接经济损失。它不会考虑由诉讼风险或其他延迟效应造成的长期损失。

什么算作网络战争以及由谁来决定？

CMC 的目标是让公司更容易购买网络保险，并了解他们可以期望在五级制中获得哪种程度的网络事件保障，该中心董事兼创始人、风险咨询服务公司 CyXcel 的 CEO Ed Lewis 表示。

保险业长期以来一直在努力解决如何为网络风险投保的问题。早在 2022 年，劳合社就发布公告，要求从网络保险范围中排除"网络战争事件"。但谁来决定网络攻击是否是敌对国家的战争行为？是政府还是保险公司？

再加上伦敦市场为网络保险制定的复杂除外条款，这简直是"律师的天堂"，Lewis 说。

显而易见，最重要的不是哪个国家应对网络战争负责，而是攻击的规模和严重程度。如果一次网络攻击的数字特征显示它针对多个目标，那就具有"系统性攻击"的特征。

一些保险公司，特别是那些为中小企业提供保险的公司，不承保系统性风险。这是为了避免多个客户同时遭受同一灾难性事件而造成巨大损失。然而，企业可以从其他专业保险公司获得防范系统性风险的保险。

2022 年夏天，Lewis 与他所在公司 Weightmans 的律师团队和保险公司 CFC 一起，在法国花了六周时间寻求解决方案。他们想出了创建一家担保有限公司的想法，作为系统性网络攻击的独立专业中心。

该团队在 2023 年上半年开发了一种方法，使用受飓风启发的五级制来评估网络攻击的财务影响，并于同年 10 月将 CMC 注册为担保有限公司。

讨论最多的网络攻击并非最具破坏性

该中心在 2024 年的试运行中审查了三次网络攻击，结果令人惊讶。一些被讨论最多的网络攻击不一定对英国经济造成最大损害。

以 2023 年 5 月对文件传输服务 MoveIT 的攻击为例。它影响了超过 2,000 个组织，暴露了约 6,400 万人的个人数据。

尽管它在全球引发了头条新闻并吸引了网络安全界的注意，但 MoveIT 攻击对英国的经济影响在 CMC 的"飓风"等级上"接近可以忽略"的程度。

2024 年 6 月，另一个勒索软件组织袭击了为伦敦各地 NHS 组织处理血液检测的病理实验室 Synnovis。这次攻击导致 GP 诊所和 NHS 信托机构出现重大中断，导致医疗程序延误、预约取消和血液库存短缺。

尽管引起了广泛关注，但 CMC 判断其经济影响相对较低，在 1 亿至 10 亿英镑之间，受影响人口不到 0.1%。这使其在五级制中被评为二级。

2024 年 7 月 CrowdStrike 安全软件更新失败导致全球 Windows 计算机中断，但在最初的新闻报道后，未能持续吸引公众的注意。然而，CMC 的专家将 CrowdStrike 评为三级事件 —— 其影响显著高于 MoveIT 和 Synnovis。

对信任和独立性的需求

CMC 的评估可能并非完全准确，但它们有明确的方法论，并使用数据来为技术委员会的决定提供依据，所有这些都将公开并接受公众scrutiny。

该中心的设想是充当独立仲裁者。提供保险的公司和购买保险的公司将能够同意在任何保险范围争议中受其决定约束。

这意味着该中心需要被视为完全独立于保险业和政府，并且如果要取得成功，就需要建立可信决策的声誉。

中心目前的计划是通过会员费筹集资金，希望吸引来自各行各业、专业服务、制造业和零售业以及保险公司的会员。然而，Lewis 强调，保险公司和政府不会对 CMC 的评估产生影响。

"我们非常明确的是，技术委员会的工作必须独立于政府和保险公司，"他说。"他们必须在实际可行的范围内不受质疑。"

CMC 可能影响政府政策

CMC 的工作可能会影响政府关于网络风险的政策方向。许多人希望它能帮助将监管重点从监管数据泄露转向监管导致基本服务损失的网络故障。

Ciaran Martin 举例说明，Conti 勒索软件组织对爱尔兰卫生服务的攻击在 2021 年中断了数月的医疗保健服务。当爱尔兰政府拒绝立即支付赎金时，Conti 犯罪集团通过在互联网上发布医疗数据来加大压力。只有在那时，爱尔兰卫生服务执行部门才有义务向监管机构报告该事件。

"这是一个很明显的例子，整个国家的医疗系统，包括癌症手术都不得不停止，这不算违规，但少量医疗数据的丢失 [却被视为违规]，"他告诉《计算机周刊》。

如果《网络安全和韧性法案》按预期通过议会，英国的情况可能会改变。该法案引入了维护关键服务的义务，可能会导致强制报告勒索软件攻击。"我不是说'让我们废除数据监管，让我们对小型美发沙龙施加全面的服务义务'，而是说'让我们仔细考虑这个问题'，"Martin 说。

如果让受害者在两种糟糕的情况之间做出选择 —— 一种是失去关键医疗服务，另一种是失去个人数据，大多数人会选择失去个人数据而不是失去医疗服务，他补充道。

Lewis 同意这一观点。"似乎对涉及数据泄露的网络事件过分关注，"他说。"我认为说信息专员办公室及其权力的使用近期受到相当多的批评是公平的。"

需要解决"受害者耻辱"

他希望 CMC 能消除他所说的"受害者耻辱"，即对负面宣传或诉讼的恐惧可能导致遭受网络攻击的组织选择保密而不是公开。

已经有迹象表明这种情况正在发生。在遭受 Rhysida 勒索软件团伙攻击后面临重大中断的英国图书馆，发布了一份全面的经验教训报告，该报告在网络安全界获得广泛好评。Harris Federation 是伦敦和东南部的学校网络，在 2021 年遭受勒索软件攻击后失去了电子邮件和电话访问，该机构通过一系列播客分享了其经验，以帮助他人提高网络韧性。

对 Martin 来说，CMC 的主要目标是提供更好运作的保险市场，为寻求网络攻击保险的公司提供更好的保障。

他希望看到 CMC 随着时间的推移获得信誉，成为学术界、政府和行业论文的事实信息来源。

他说，如果 CMC 做好了自己的工作，媒体将能够更好地把握哪些网络事件是严重的，哪些可能只有轻微的经济影响。