IT 外包与勒索软件：英国经济安全面临的技术风险

最近，英国三家大型企业——Co-op Group、玛莎百货和捷豹路虎——相继遭遇重大勒索软件和/或勒索事件。它们有一个共同点：在过去 5 年里，都将关键的 IT 和网络安全服务外包给了 TCS（塔塔咨询服务公司）。我并不是说 TCS 不好或完全有过错，但我想剖析这里发生的事情，因为更广泛的背景很重要。

这些事件的成本估计各不相同，但网络监控中心估计 Co-op 和玛莎百货的成本约为 5 亿英镑——零售行业组织也得出了类似的数据。

网络监控中心估计英国零售业攻击成本达 4.4 亿英镑

英国的网络监控中心描述了 4 月份对玛莎百货和 Co-op 的网络攻击，这些攻击可能耗资高达 4.4 亿英镑。

玛莎百货在几个月后仍在恢复系统，而 Co-op Group 的关键 IT 系统瘫痪了一个多月。

就玛莎百货而言，其保险公司遭受了"全塔损失"，相当于成本超过了玛莎百货 1 亿英镑的保险覆盖范围。玛莎百货预计网络保险政策将覆盖约一半的总成本。Co-op Group 没有网络保险，因此拒绝支付赎金，这就是为什么他们在媒体上遭到青少年黑客最多升级攻击的原因。

捷豹路虎目前已经全面停产 15 天。在我撰写本文时，超过两周过去了，员工仍然不知道 IT 系统何时能够恢复，以便汽车制造可以重新开始。

捷豹路虎迄今为止的成本目前尚不清楚——BBC 报告估计每天约 1000 万英镑，因此到目前为止大约在 1.5 亿英镑左右。然而，这"仅仅"是利润损失——当你考虑到网络事件响应、法律费用和其他一切时，再加上事件尚未解决、服务尚未恢复的事实——很可能会显著上升。

《每日电讯报》声称捷豹路虎每天损失 7200 万英镑，如果准确的话，当前总额将略高于 10 亿英镑。

捷豹路虎停产可能持续到 11 月

随着汽车制造商的危机进入第三周，供应商面临"巨大压力"。

结果？仅这三起事件可能就让相关组织损失了约 10 亿英镑。唯一被捕的嫌疑人已被保释，数月后仍未受到指控，而且大多是青少年。一些嫌疑人之前在英国有类似事件的定罪记录……但他们只是继续作案。

但问题是。10 亿英镑。听起来很糟糕……但它们是私营公司，所以谁在乎呢？

BBC 报道称，捷豹路虎在过去一年中盈利略高于 20 亿英镑。它们也承受得起打击。毕竟，通过外包给 TCS，它们节省了大量资金。

接下来的内容可能会让你在意。

BBC 还报道称，对捷豹路虎供应商（许多是中小型企业）的下游影响正在导致员工被解雇。现在越来越多的人呼吁英国政府建立一项休假计划，由纳税人承担费用，在捷豹路虎试图恢复其大部分外包的 IT 系统时，向供应商支付费用以保留员工。

捷豹路虎：一些供应商因黑客危机"面临破产"

政府被敦促"迅速采取行动"以保护数百个工作岗位。

本质上，我们最终陷入了一种局面：为了提供股东价值，大型组织被激励将核心 IT 和网络安全功能外包给国外的低成本托管服务提供商——然后当遭受勒索软件攻击时，保险将覆盖支付赎金（一些保险公司实际上会推动向犯罪集团付款，以覆盖其潜在损失）。

这种循环助长了勒索软件经济，同样的犯罪集团可以将资金再投资于购买漏洞利用工具并获取对其他组织的初始访问权限。因为勒索软件是如此大的生意，许多集团拥有的研发资金远远超过它们攻击的组织。特别是当它们攻击的组织将关键领域外包给低成本提供商时。

净效应是勒索软件和勒索集团继续获得更多组织的访问权限，并危及英国的经济安全。它们击中某种直接影响数百万人的英国基本服务只是时间问题——到那时，数百万人会问正在采取什么措施来解决这个问题。答案是：不够。当我们处于不得不考虑为捷豹路虎的供应商制定紧急休假计划以正确保住工作岗位的阶段时，这不仅仅是煤矿中的金丝雀死了的迹象，而是煤矿即将坍塌在人们身上。

我们如何走到这一步

Co-op Group 与 TCS 的关系始于十多年前，但真正开始将关键 IT 服务外包给 TCS 是在 2017 年左右。当时我管理着他们的安全运营中心。他们将 IT 服务台（被认为是事件的入侵点）外包给 TCS，将员工转移到 TCS，并最终裁减了职位。

当时，我在 1 Angel Square 的公共大厅拍了这张照片，一位同事成员写道，他们正在努力将公司卖给塔塔（TCS），作为"增长燃料"的一部分：

同事们并不高兴

我在 2019 年底离开该组织后，他们后来将我的团队——网络安全运营中心——以及各种其他关键网络安全服务完全外包给了 TCS。该团队负责检测未经授权的访问。他们还将更多 IT 团队集中化，然后在 2020 年左右将这些服务转移给 TCS，在此过程中裁减了同事：

英国 Co-operative Group 集中各部门的 IT 团队，警告裁员……

塔塔咨询服务公司将运行应用程序和基础设施支持——哦，还有安全。

Co-op Group 在过去财年录得 1.61 亿英镑的税前利润。

玛莎百货大约在同一时间开始了与 TCS 的关系，同样外包了关键 IT 服务并裁减了员工：

玛莎百货外包一半技术岗位

其 430 人 IT 团队中约 250 个职位将转移到印度科技巨头塔塔。

这导致了裁员。这包括他们的 IT 服务台——也是事件的入口点。我的理解是，随着这种关系的进展，他们也开始将网络安全功能的某些部分外包给 TCS——包括负责检测未经授权活动的团队。

玛莎百货在过去财年录得 8.76 亿英镑的税前利润。

捷豹路虎遵循类似的模式。他们将 IT 的关键领域外包给 TCS。然后继续将网络安全的某些部分外包给 TCS，包括安全运营、治理风险与合规以及身份和访问管理。尽管员工使用 TUPE 转移，但许多人后来被裁减。这种 TUPE 模式在这些组织中重复出现。

捷豹路虎在过去财年录得 25 亿英镑的税前利润，是其十年来最佳表现。

TCS 否认一切

他们没有。TCS 否认他们的任何系统被入侵。他们对此事的声明应仔细解析，以看清他们究竟在做出或回答什么声明。

网络行业众所周知，LAPSUS$ 孩子们在打电话给服务台并要求访问，并且轻松获得。TCS 提供了这个服务台服务，在客户之间共享。当 TCS 拥有环境中的域管理员权限并管理 IT 服务时，问题不是"TCS 是否被入侵？"，而是"TCS 的客户是如何被入侵的，你是否提供了这些服务？"

在网络行业中，关于 TCS 有很多故事并不是秘密——我在战壕里听到过像"糟糕的网络服务"这样的名字。而且这些梗已经存在一段时间了。

100000000000%认证

还有，你知道，多年来所有的 Reddit 帖子，例如：

获取 Kevin Beaumont 的故事到你的收件箱

免费加入 Medium 以获取此作者的更新。

订阅

MSP 不好吗？

不。托管服务提供商并不坏。特别是对于小企业，一个优秀的 MSP 可以提升组织，赋予其由于规模原因无法正确部署和管理的技术。

然而——当你谈论拥有数万名员工的组织时，当他们将诸如网络风险和合规、网络安全运营、密码重置服务台等领域外包时——他们承担了一定程度的风险，我认为，这变得非常值得怀疑。这不仅仅是风险——而是可能也确实会发生的风险。当整个公司心脏病发作时，那 10%的预算节省看起来就不那么诱人了。

MSP 依赖共性来扩展。例如，他们使用覆盖大量客户的团队。他们运行 IT 服务台，根据你拨打的电话号码，你会得到一个以该公司名称定制的服务——例如，TCS 运行一个微软前线员工 IT 服务台。但接电话的人同时处理多项任务，只看到你拨打的号码，调出该公司流程，并与你运行脚本。这很容易被滥用，操作员也很容易犯人为错误。

MSP 使用标准操作程序。他们将管理成千上万个其他组织的 Active Directory、存储阵列、VMware 集群等。他们写下一切。一切都有文档记录。如果你是攻击者，很容易滥用。这些东西是公司跳动的心脏。

同样的情况是，许多 MSP 支付极低的工资，并且有 MSP 员工接受贿赂的例子。考虑到他们拥有的访问级别——例如能够重置管理用户的多因素认证令牌——支付极低的工资不仅风险高，而且真的很愚蠢。

激励被打破

资本主义鼓励降低成本。CIO 们希望，或者在有些情况下必须每年削减 10%的预算。但当你达到英国政府可能不得不使用纳税人资金支付捷豹路虎的供应商不工作，而捷豹路虎录得创纪录利润的地步时，我们应该问自己——这里的激励是否给英国带来了经济风险？

随着接近 10 亿英镑的损失，你会认为保险提供商将遭受重创并高度警惕。不。保险提供商对这些事件非常兴奋，并且目前正全力从中获利：

玛莎百货攻击可能是赢得新网络业务的关键

虽然玛莎百货有网络保险，但 Co-op 和 Harrods 没有，《保险内幕》透露。

网络事件响应提供商同样喜欢它——将这些违规行为中的任何一个或一般的勒索软件放入谷歌，都是繁荣时期。可悲的是，网络行业底线的一个很大部分是勒索软件——这就是为什么在禁止赎金支付方面持续存在游说阻力。

谁不喜欢勒索软件？受害组织、看到学校因事件关闭以至于不再成为新闻的学童、在几乎不上新闻的勒索软件事件中连续数月无法使用议会服务的人们……名单很长。

我们已经将勒索软件常态化了。

随着勒索软件和勒索集团转向航空公司、食品生产、仓储和其他行业，名单将会变长。你可能认为——Kevin——他们已经这么做了。他们几乎才刚刚开始。他们有一个目标丰富的环境。不缺受害者。

因为他们知道大型组织将服务台外包给超低成本提供商，威胁增加了。因为他们知道组织将关键 IT 系统外包给拥有 3940 个其他客户的提供商，并且他们通过流程图和 SOP 文档进行管理，风险增加了。

因为组织忙于尝试自动化一切并将 IT 置于一切的核心以降低成本，风险和威胁增加了。

当你结合成本压力、资本主义、自动化和数字经济时——这里已经发展出了风险。许多组织在成本方面实质上正在竞相逐底。竞相逐底结局不好。

数据保护

Ciaran Martin 写了一篇非常好的 LinkedIn 帖子，让我思考：

同意 Kevin Beaumont 关于捷豹路虎黑客攻击的观点 | Ciaran Martin 就此话题发文 | …

我再次同意 Kevin Beaumont。这是 Alexander Martin 在 The Record 上的一篇好文章。

我引用他的话：

那么为什么在像这样的案件中，我们仍然喋喋不休地谈论个人数据，仿佛这是主要关注点？这很重要。但汽车制造商并不持有太多关于其客户的有趣数据。这里的主要问题是中断，而不是数据丢失。

部分问题在于，目前我们有全面的法律义务来保护数据，但我们没有全面的法律义务来保护服务。即使英国有待出台的新立法，也只有至关重要的公司会被覆盖。

我个人的观点是，我们需要认真审视这种（不）平衡。数据安全和服务连续性都很重要。但它们非常不同——这相当于组织遭受有人潜入你的房子复制你的敏感信息，或者有人打你的脸并打断你的腿。两者都令人不快且具有破坏性，但它们是截然不同的经历，具有截然不同的影响。

然而，法律和实践告诉我们要更担心前者而不是后者。这不是有点奇怪吗？

他是对的。我以前没想过这个问题。例如，媒体在头两天之后几乎不再提及捷豹路虎事件——除了当他们承认"一些数据"可能受到影响时。那变成了另一个新闻周期。但是……为什么？这里的主要影响是英国政府可能不得不有效地救助汽车行业。而不是一些数据可能被窃取。

公司高度关注立法——这是正确的，GDPR 证明了立法是有效的。然而，尽管数据保护的关注在大多数大型组织中高度可见，但对网络恢复能力的关注——坦率地说——几乎不存在。

许多组织认为 IT 灾难恢复计划可以处理勒索软件。它不能。勒索软件集团做的第一件事就是删除备份和恢复系统，然后才破坏其他任何东西。我与一个又一个企业交谈过，他们应对勒索软件的真实计划很简单：保险覆盖，我们会支付。任何亲身经历过这些事件的人都会告诉你两件事发生：你的企业 IT 心脏病发作，支付不等于恢复。在几乎所有情况下，即使支付了赎金，恢复也需要数周到数月。真正的风险——这经常成为现实——是有人故意试图通过 IT 点燃你的总部。在几乎所有情况下，当这种情况发生时，组织不知道该怎么办——并且像呼叫消防部门一样呼叫 NCSC 和 NCA。消防部门并不是。

如果你查看玛莎百货的网站，他们有一个 3 页的高管和 C 级人员名单，控制着业务的每一个重要元素——但没有人列出负责网络安全。这个角色是存在的……但甚至不被认为重要到足以在网站上列出。捷豹路虎和 Co-op Group 也是如此。

我认为英国政府应该做什么

我认为英国可以在几个支柱上领先：

• 推进立法，强制公司披露是否支付了赎金，并禁止关键基础设施支付赎金。

• 要求制定计划，准备禁止英国公司支付或为其支付所有网络赎金。这并不意味着必须实施。这意味着应该有关于如何做到这一点的计划，以备我们需要拉动这个杠杆。这也是一种意图的信号——包括向董事会表明"只管支付"是一个糟糕的计划。

• 需要对非常大型的组织进行教育，了解它们在使用绝对关键服务的第三方服务提供商时所承担的风险水平——其中一些服务应该内部管理，并作为业务成本进行隔离。

• 需要后续探索关于保护关键服务的网络恢复能力的立法。如上所述板上写的"被卖给塔塔"，可能不仅仅发生在 Co-op。只是外界没有人意识到它正在发生。

• 需要有一个计划来化解勒索软件经济，即使这意味着反击网络供应商行业。激励必须重新调整。

我真的相信英国可以在整个话题上引领潮流，公民社会会因此变得更好。我也相信我们不仅能够，而且必须——选择在于我们是在事情变得非常糟糕时做出反应，还是现在就开始行动。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享