「來源： ｜CyberRisk賽伯瑞斯克 ID：CyberRisk」

Verisk

（Nasdaq：VRSK）是一家領先的資料分析公司，為保險，能源和專門市場以及金融服務的客戶提供服務。幫助客戶以更高的準確性，效率和紀律性做出更好的決策。Verisk業務包括ISO，Wood Mackenzie，Verisk Maplecroft，Xactware，AIR Worldwide，Argus和Verisk 3E。總部位於新澤西州澤西市，在30個國家/地區開展業務。8，000多名員工在精算科學，化學和物理，商業銀行和金融，資料科學和人工智慧，經濟學，工程學，自然資源，預測分析，供應鏈等方面貢獻自己的專業知識。

本文翻譯自verisk。com在2021 年 7 月 12 日 釋出的一篇文章，作者Stephen Whelan，由Kenson Wu整理並翻譯，譯文全文如下：

對於科技公司來說，供應鏈駭客是另一個需要緩解的網路風險。它們還可能引入新的錯誤和遺漏責任風險。雖然SolarWinds事件仍未塵埃落定，但它似乎起源於軟體開發人員，並影響了（或被感染了？）全球數百家公司。

北美視角|SolarWinds（NYSE：SWI）旗下產品遭駭客載入惡意程式碼或致其全球客戶受影響，已向SEC提交8-K報告

北美視角|SolarWinds事件影響深遠，紐約金融服務部發布勒索軟體網路風險保險框架

這次攻擊的值得注意的不僅僅是規模，而是向量：就像 2020 年 12 月報告的大規模資料洩露事件一樣，這種勒索軟體攻擊最初針對的是一家軟體公司，其產品被全球企業使用。透過利用這家特定公司軟體中的漏洞，駭客成功地將其惡意程式碼傳輸到數百家毫無戒心的企業中，用一份報告的話來說，這使其成為“迄今為止規模最大、最嚴重的此類攻擊。”

這種形式的勒索軟體攻擊稱為供應鏈攻擊，不僅具有破壞性且代價高昂。它可能會在技術和軟體供應鏈的多個點對公司和專業人士造成錯誤和遺漏 （E&O） 責任風險。

為什麼供應鏈攻擊如此有效？

兩個字，效率和信任。

供應鏈駭客攻擊是有效的，因為駭客需要做的就是破解單個軟體或硬體公司的防禦，利用現有程式碼中的漏洞，然後觀察該公司透過其廣泛地為駭客的惡意軟體開啟途徑自己的客戶群——有時以軟體更新的形式。

駭客在選擇目標時具有戰略意義。在最近的幾起事件中，駭客將惡意軟體植入到 IT 專業人員用來維護其計算機網路、清理硬碟驅動器和開發軟體的軟體中。換句話說，駭客將惡意軟體嵌入到旨在廣泛分發和使用的軟體中。駭客旨在破壞的網路和系統。

信任是另一個關鍵因素。到目前為止，我們大多數人至少普遍瞭解良好的網路安全協議：我們不應該點選來自我們不認識的發件人的附件或向匿名電話呼叫者提供登入賬號密碼。但是，當 IT 專業人員從他們過去合作過的供應商處下載軟體更新時，他們可能會相信該更新沒有惡意程式碼。

事實上，保持軟體更新通常被認為是重要的網路安全最佳實踐。透過軟體更新傳播惡意程式碼，供應鏈駭客攻擊將這一最佳實踐顛覆為一個新的安全漏洞。

新興風險之錯誤和遺漏風險

對於科技公司來說，供應鏈駭客攻擊是另一個需要緩解的網路安全風險。它們還可能引入新的錯誤和遺漏 （E&O） 責任風險。一般而言，E&O 風險表現為提供技術服務的專業人士（或企業）所犯的錯誤或疏忽行為，從而對第三方造成經濟損失。

例如，如果一家管理公司網路的公司將軟體安裝到載入了勒索軟體並加密客戶所有資料的客戶網路上，則可能面臨訴訟風險。

提供專業服務或建議的公司應考慮持有一份錯誤和遺漏保險單

，該保單可能涵蓋抗辯客戶或第三方提起的訴訟和/或支付任何由此產生的判決和和解的費用。

為了解決技術公司和 IT 專業人士面臨的獨特的 E&O 風險，Verisk 目前正在開發一項技術錯誤和遺漏保險計劃，該計劃將加入現有的專業責任保險解決方案。