研究：全球性的勒索軟體攻擊最高可造成逾1,900億美元的經濟損失

由新加坡南洋理工大學保險風險與金融研究中心（NTU-IRFRC）所主導的網路風險管理專案（Cyber Risk Management，CyRiM）與英國保險交易所Lloyd's of London共同出版了《巴蛇吞象攻擊：由傳染性惡意程式所造成的全球感染》（Bashe attack: Global infection by contagious malware）研究報告，指出全球性的勒索軟體攻擊將對全球企業造成850億美元到1,930億美元的經濟損失。

研究人員把勒索軟體的全球攻擊威脅以「巴蛇吞象」的成語來命名，也就是大家所熟知的「人心不足蛇吞象」，用來比喻極其貪婪的駭客已無法滿足於單純的破壞。

報告中指出，迄今已有幾次的網路攻擊在幾分鐘之內就蔓延到全世界，於是他們假設了一個攻擊場景，以檢視具感染力的勒索軟體在24小時內入侵全球60萬個企業、3,000萬個裝置之後可能帶來的經濟損失。

在此一攻擊場景中，勒索軟體是藉由惡意電子郵件滲透至企業網路，而且會自動轉寄給受駭裝置通訊錄上的名單，被駭的企業可能必須支付贖金才能解鎖檔案，還必須負擔網路意外回應、損害控制與緩解、業務中斷、營收損失或生產力下滑等成本，從輕度到重度不等，估計可造成850億美元到1,930億美元的經濟損失。

研究顯示，零售業、健康照護產業及製造業是受害最嚴重的三大產業，若零售業的支付系統或電子商務網站被植入勒索軟體，或是健康照護產業的老舊架構遭到入侵，都可能造成高達250億美元的損失，而製造業的生產設備或庫存管理系統一旦感染勒索軟體，估計其最高損失為240億美元。

若以區域來看，受創最嚴重的是美國，佔了890億美元，居次的是歐洲的760億美元，亞洲則佔了190億美元。

此一報告除了預測勒索軟體攻擊的發生及影響之外，有鑑於NTU-IRFRC與Lloyd's of London的背景，該報告還強調了保險的重要性，指出就算遭到攻擊的商業成本很高，但當中有高達86%的損失是沒有保險的，鼓勵保險業者應將服務觸角延伸至勒索軟體的相關攻擊。