在給新罕布什爾州司法部長約翰福梅拉的一封信中，音頻設備公司Bose透露，該公司在3月7日遭到勒索軟件攻擊。

　　這封信沒有說明是哪種勒索軟件，也沒有說明攻擊背后的組織究竟是誰，但該公司解釋說，自己“經歷了一次復雜的網絡事件，以致于在整個Bose的環(huán)境中都被部署了惡意軟件/勒索軟件。”

　　4月29日，Bose和分析師確定，此次攻擊的幕后黑手設法訪問了內部行政人力資源文件，部分員工的社保號碼、地址和薪酬信息，其中包括六名居住在新罕布什爾州的員工。

　　該公司表示，目前自己無法確認幕后黑手是否從系統中竊取了文件或信息。目前也還不清楚Bose是否支付了贖金。

　　Bose在信中稱，其目前正與一家私人安全公司和FBI合作，在暗網上搜索任何泄露的信息，但沒有發(fā)現任何跡象表明其數據已泄露。

　　該公司現已在網絡端點和服務器上實施了“增強的惡意軟件/勒索軟件保護”，同時阻止了攻擊期間惡意文件的橫向移動，并部署了監(jiān)控工具以監(jiān)視后續(xù)攻擊等。

　　5月19日，Bose還向所有受勒索軟件事件影響的人員發(fā)信，告知他們保持警惕并監(jiān)控自己的賬戶，那六名住在新罕布什爾州的員工還獲得了為期12個月的IdentityForce免費身份保護服務。

　　網絡安全專家表示，強制要求遭遇勒索軟件攻擊的企業(yè)通報攻擊信息非常重要，這可以幫助其他相關企業(yè)及時保護自己免受類似攻擊。

　　Gurucul首席執(zhí)行官Saryu Nayyar贊揚Bose公開披露了這次攻擊的行為，但指出該公司在公告中描述的事件時間表存在問題。

　　重要的是要分享攻擊者的動態(tài)，這樣才能夠吸引必要的主管部門和網絡防御專家的關注，從而減輕攻擊的連鎖反應。Bose的公告非常詳盡，但是，披露的時間表令人擔憂。Bose花費了一個半月才發(fā)現哪些數據被訪問并可能被泄露，又過了三周的時間才開始通知受影響的個人。Bose對于此次攻擊的響應時間太過漫長，以致于攻擊者在這段時間里簡直可以對泄露的數據為所欲為。

　　其他專家還指出，Bose的響應時間過長，這可能危及受此次數據泄露事件影響的其他企業(yè)和個人。

　　Pathlock 總裁凱文·鄧恩 （Kevin Dunne） 表示，Bose本可以做出更快的反應并為這次襲擊承擔更多責任，同時還制定了明確的計劃，以防止未來此類襲擊再次發(fā)生。

　　所有企業(yè)都應該從這次攻擊中吸取教訓——將關鍵業(yè)務數據保存在可以管理和監(jiān)控的應用程序中，而不是保存在電子表格或其他非托管數據庫中，員工數據就像客戶、財務或知識產權相關數據一樣都是敏感數據。企業(yè)應該投資于人力資源管理系統，并確保他們有良好的訪問控制和數據丟失預防措施，以降低員工潛在數據泄露的風險。

　　他補充說，對于涉及網絡安全攻擊的利益相關者來說，人們的態(tài)度存在很大分歧。

　　他解釋說，一些公司在報告對其系統的攻擊時過于謹慎，因為他們希望避免吸引進一步的攻擊，或向勒索軟件團伙妥協。

　　但無論如何，受攻擊影響而泄露了數據的員工應該盡快得到通知，以便他們可以監(jiān)控受感染帳戶中的任何異常活動。他告訴ZDNet說：股東經常會感到非常糾結，因為公開有關違規(guī)的信息通常會導致股價大幅下跌，但另一方面，當公眾盡早獲悉違規(guī)情況時，企業(yè)可以更好地管理預期。

　　nVisium首席執(zhí)行官Jack Mannino表示，不同的行政州和行業(yè)對報告事件有不同的要求。但他敦促任何受攻擊的公司積極主動地通知受害者，以避免在事后調查中顯得被動。

　　Shared Assessments的CISO湯姆·加魯巴（Tom Garrubba）等專家表示，一些公司對信息披露的重要性存在一種誤解，他們認為只有在公開交易（上市公司）或在受監(jiān)管的環(huán)境中運營時才需要披露違規(guī)信息。

　　無論您的企業(yè)屬于何種行業(yè)、是否上市，掩蓋或拖延事件披露的做法長期來看都會阻礙改善網絡衛(wèi)生狀況、抵御未來攻擊的能力。很多企業(yè)存在一種僥幸心理，認為自己不會被閃電擊中兩次，因此拒絕為了改善網絡安全狀況投入適當的資金。這會造成一種虛假的安全感，即通過通過瞞報來大事化小。但是，如果您很不幸地再次遭受網絡攻擊，之前的瞞報和拖延都將被曝光，這對企業(yè)的品牌和聲譽都將產生非常嚴重的損害。在當今數字化的時代，企業(yè)成功的關鍵是提高透明度和客戶的信任度，信任才是全球通信的‘貨幣’。