纽约萨福克县遭黑客攻击事件揭示市政机构面临的勒索软件威胁——《华尔街日报》

作者：詹姆斯·兰德尔2022年11月16日 上午5:30（东部时间）|WSJ专业版多州信息共享与分析中心表示，近年来已有数千个地方政府遭受勒索软件攻击。图片来源：史蒂夫·马库斯/路透社丽莎·布莱克，纽约州萨福克郡副行政长官，在九月初接到了一通政府领导人和公司高管都害怕的电话：技术系统疑似正遭受攻击。

9月8日中午接到电话后，郡政府工作人员立即开始隔离财务数据库，并将网络与互联网断开，以防止后来被确认为勒索软件的扩散。当晚，布莱克女士召集各部门负责人和专员，宣布了一项新的挑战。

“我需要你们基本上回到1990年的工作方式，”她告诉在场的员工。

在新冠疫情期间习惯了数字化办公的办公室不得不重新使用纸笔。电子邮件将无法使用。法院诉讼、垃圾收集和其他重要基础设施服务需要为这个拥有150万人口的郡（纽约市五个行政区以外人口最多的郡）提供，但没有互联网接入。

萨福克郡的黑客攻击并非孤立事件。

根据市政威胁情报组织"多州信息共享与分析中心"的数据，2017至2021年间，全美有超过3400个州、地方、部落及领地政府机构遭受勒索软件攻击。今年针对地方政府的重大攻击包括：学年伊始对洛杉矶联合学区的袭击；1月新墨西哥州伯纳利欧县导致办公室关闭的事件；以及8月科罗拉多州弗里蒙特县的类似案件。

市政系统遭入侵代价高昂，常迫使多年滞后的技术升级提前实施。巴尔的摩市2019年遭勒索攻击最终耗资1820万美元——远超黑客当时索要的7.6万美元比特币赎金（官员拒绝支付）。

对于萨福克郡，由曾任县文员的州长凯西·霍楚领导的州政府紧急调拨125台电脑，10小时内送达应急使用。

网络中断同样影响了试图通过威胁公开窃取数据来勒索萨福克郡的黑客。布莱克女士表示，由于郡网络切断外部访问，黑客无法联系工作人员提出要求。

勒索软件攻击者最终在其暗网站点公布了声称从该郡窃取的4TB数据样本。他们宣称窃取了法院和执法记录，并索要赎金，具体金额尚未披露。

地方政府因掌握大量财务与个人信息成为理想目标，且通常比大型企业更易攻破。

“这些攻击之所以能频频得手，往往是因为公立学校、市政府和其他小型政府机构缺乏必要的资源、人员、工具和专业知识来建立适当的防御。”加利福尼亚州圣华金县前首席信息官克里斯·克鲁兹说道，他现在是网络安全公司Tanium Inc.的公共部门首席信息官。

在萨福克县，系统在遭受攻击两个月后仍然处于瘫痪状态。该县的公共网站已缩减为机构电子邮件地址和电话号码的列表，外加公交车时刻表的PDF文件。

2019年，巴尔的摩遭遇勒索软件攻击，最终损失超过1820万美元。图片来源：Stephanie Keith/Reuters需要购房产权处理等关键服务的居民必须亲自前往县办公室。网站称，申请食品券的人“可能会遇到轻微延迟”。停车罚单无法在线支付。由于县选举委员会网页无法访问，寻求投票信息的公民被建议访问州网站。

布莱克女士承认了这些障碍，并补充说官员们已优先考虑基本服务。

“我更希望确保萨福克县的911系统正常运行，我们的消防调度员能够调度救护车。我们希望确保无家可归者在需要时有地方可住。”她说。

该县正在与包括联邦调查局在内的联邦机构合作。网络安全公司Palo Alto Networks（帕洛阿尔托网络公司）和咨询公司Redland Strategies Inc.已提供事件响应和取证支持。

勒索软件恢复通常是一个漫长的过程，尤其是对萨福克县这样的大型地方政府而言——必须从网络和单台计算机中清除恶意软件、重建数据库，并在重新连接公共互联网前确保所有系统无病毒残留。取证调查还需要分析大量代码以确定系统受影响的方式和原因。

网络保险公司Coalition Inc.（为企业和政府机构提供保单）的首席执行官约书亚·莫塔表示，许多市政部门甚至无法实现多因素认证和定期补丁等基本防护措施。

他指出，部分技术设备过于陈旧，供应商不再提供安全更新，也无法支持多因素认证。安装常见的网络安全措施有时需要彻底更换硬件和软件。

“这不是简单勾选选项或开启某个功能，“莫塔先生说，“必须全面检修过去二三十年来所依赖的基础设施。”

保险可帮助分摊攻击造成的损失，但如今许多保险公司要求投保方必须具备基本网络安全防护措施。

萨福克县未投保网络保险，官员们也尚未公布全面恢复运营和完成取证调查所需费用的预估。向县立法者作证后，布莱克女士向《新闻日报》透露，截至10月底该县已花费480万美元。

萨福克郡行政长官史蒂夫·贝隆希望扩充网络安全团队。图片来源：爱德华多·穆诺兹/路透社加州红木城网络安全公司Delinea Inc.的首席执行官阿特·吉利兰表示，即使有保险，政府在面临长达数月服务中断时仍常选择支付赎金。“商业机构的驱动力是利润，而公民服务中断会给政策制定者带来巨大政治压力，迫使他们确保服务连续性。”

部分地方政府已失去支付赎金的选项。佛罗里达州和北卡罗来纳州立法机构通过法案，禁止州政府机构使用公共资金支付赎金。纽约州、得克萨斯州和宾夕法尼亚州也提出了类似提案。

去年10月，萨福克郡行政长官史蒂夫·贝隆提议将2023年技术预算从2500万美元增至3250万美元，增设10个网络安全岗位，并设立首席信息安全官职位。

布莱克女士表示，虽然郡政府员工已恢复电子邮件使用，但要完全恢复外部网络访问仍需时日，目前郡政府仍在维持运转。“我们并非所有决策都正确，“她说，“但我们确保了操作过程的安全可靠。”

联系记者詹姆斯·朗德尔请致信 [email protected]