美国证交会强化要求网络安全风险事件披露

数据显示，2021年勒索软件威胁达到了前所未有的水平，在多数情况下，攻击者要求的赎金已高达数百万美元。然而，以勒索软件为代表的网络攻击，给受害企业造成的实际损害（包括收入损失）可能远超赎金金额。对于大多数私营企业而言，勒索软件攻击的实际损失，甚至攻击事件本身都被有意或无意的隐瞒起来。

为了更好地向投资者通报上市公司的风险管理、战略和治理，并及时向投资者通报重大网络安全事件。美国证券交易委员会（即U.S. Securities and Exchange Commission，以下简称SEC）企业财务部门在2011年，就首次颁布关于披露网络安全风险和突发事件的指导原则。2022年3月9日， SEC再次公布新版规定征求意见稿，进一步加强要求上市公司关于网络安全风险管理、战略、治理和事件报告的披露，并使之标准化，其中明确了上市公司信息安全事件应在4天内披露。

新规要求上市公司在8-K表格中报告重⼤⽹络安全事件的最新情况，并定期披露以下信息：上市公司识别和管理网络安全风险的政策和程序；

公司管理层在实施网络安全政策和程序中的作用；

公司董事会的网络安全专业认知程度及其对网络安全风险的监督能力；

以往报告的网络安全事件的处置状况。

通过检索SEC公布的8-K文件，我们发现，在2020年和2021年期间，30家上市公司报告了勒索软件事件、勒索软件相关费用或勒索软件相关的保险报销。虽然大多数此类披露文件都认为勒索软件攻击影响有限，或缺乏财务数据来证明处理此类事件所耗费的成本，但仍有7份披露文件中包含足够的成本数据，可以揭示勒索软件事件的成本究竟有多高。

以下是披露了勒索软件事件及其成本数据的7家企业：

01辛克莱（Sinclair）广播集团

该公司在报告中称，它于2021年10月遭遇了勒索软件攻击事件。不过，它并未支付赎金，而是从备份中成功恢复了网络，但勒索软件造成的中断还是为其带来了收入损失和其他成本支出。

数据显示，该事件导致辛克莱第四季度广播部门的广告收入损失6300万美元，补救成本为1100万美元。经过保险赔偿后，该公司预估仍将面临大约2400万美元无可挽回的净损失。但是，由于恢复的细节仍不确定，该预估成本可能还会增加。

02Blackbaud

2020年5月，云技术公司Blackbaud遭遇勒索软件攻击，虽然它成功阻止了攻击者的攻击，并最终将攻击者从其系统中驱逐了出去。然而，攻击者还是成功从其自托管的私有云环境中窃取了一部分数据的副本，Blackbaud最终支付了赎金。

在获得大约940万美元的保险赔偿后，Blackbaud仍将面临与安全事件相关的1040万美元成本损失。而且事件发生后，Blackbaud收到了大约570份客户诉讼，要求其就该事件做出相应的报销理赔。2021年7月，法院允许这些诉讼继续进行。2022年2月，Blackbaud签订了一项信贷协议，其中涉及数据泄露和勒索软件攻击相关的非经常性法律费用支出高达5000万美元。

03WestRock

美国瓦楞纸包装公司WestRock于2021年1月23日遭到勒索软件攻击，致使其IT和运营技术系统中断。该公司表示，2021年第二季度销售和运营中断对净销售额和部门收入的影响分别为1.89亿美元和8000万美元。

WestRock还表示，此次攻击事件还产生了大约2000万美元的勒索软件恢复成本。对于这部分损失，WestRock计划将来从网络和业务中断保险中赎回。

04Radiant Logistics

2021年12月8日，这家物流和多式联运公司遭受了勒索软件攻击，影响了其运营和IT系统。Radiant表示，该事件使其12月份收入遭受损失并增加了成本，预计将对公司2022财年第二季度的业绩产生不利影响。

该公司称，在将系统脱机之前，攻击者已从企业服务器上提取了与客户和员工相关的部分数据。对此，它正在积极地与那些可能受到此事影响的受害者沟通。Radiant在详细介绍其2021年全年财务状况时表示，它在12月期间产生了750,000美元的勒索软件相关事件成本，其中包括第三方取证和其他IT专业费用、法律费用以及增加的加班费和员工相关费用。

05Mineral Technologies

Mineral Technologies公司于2020年10月26日遭受了Egregor勒索软件攻击。该公司表示，此次勒索软件攻击对其造成了400万美元的系统恢复成本和风险缓解费用。

06Benchmark Electronics

这家电子工程公司最初于2019年11月5日报告了勒索软件攻击事件，此次事件影响了客户和员工对公司系统和服务的访问。这起事件迫使Benchmark在2019财年支付了7,681,000美元的相关费用。到2021年底，该公司又收回了3,989,000美元，大概是来自保险报销。

07Faneuil

ALJ Regional的子公司Faneuil是一家业务流程外包解决方案提供商。它于2021年8月18日检测到勒索软件攻击。之后，Faneuil展开调查并聘请了法律顾问和其他事件响应专业人员，实施了一系列遏制和补救措施来应对这一情况，并借助网络安全专业公司的力量加强其信息技术系统的安全性。

由于该事件，Faneuil产生了大约280万美元的成本损失和罚款。不过，Faneuil获得了190万美元的保险追偿应收账款。目前，该公司已经收到了130万美元，剩余的保险收益预计将在2022年3月31日之前发放。