哥伦比亚能源公司遭勒索攻击的影响

关键要点

• 哥伦比亚大型能源公司EPM遭遇勒索攻击，可能影响其信用质量。
• 该事件引发了对关键基础设施行业开发有效风险管理实践和漏洞管理程序的警示。
• EPM的网络防御评分为“C”，表明其遭受攻击的风险高于评分为“A”的公司。

近日，哥伦比亚最大的公共能源、水务和燃气供应商Empresas Publicas de Medellin
（EPM）遭遇了一次勒索攻击。根据穆迪（Moody’s）的报告，该事件可能对公司的信用质量造成影响，并为整个关键基础设施行业敲响了警钟，促使该行业加强风险缓解和漏洞管理措施。

EPM于12月13日遭受的勒索攻击威胁到其网站、移动应用、支付网关及内联网的正常运行。穆迪指出，该公司在处理此事件时面临挑战，这可能进一步影响其。

“尽管EPM尚未对攻击的严重性发表评论，勒索攻击通常会导致运营中断，迫使公司转向成本更高、效率较低的人工操作，从而影响信用质量。”穆迪在12月20日发布的中提到。

EPM的信用问题引起了对电力、燃气和水务等关键基础设施行业的关注。穆迪在其2022年网络热图中指出，这些行业面临着非常高的网络攻击风险。。

穆迪在报告中表示：“这些公司在更广泛的经济中扮演着重要的系统性角色，迅速在其所有服务中采用数字技术，但相较于银行和电信等其他吸引行业的网络防御措施，仅维持平均水平。”

根据穆迪的分析，网络防御实践的重要指标之一是漏洞修补频率
，即发行方在网络攻击事件（如勒索攻击）期间修复已知漏洞的速度。BitSight的首席风险官德里克·瓦达拉（DerekVadala）指出，漏洞修补频率表现与遭遇勒索攻击的可能性之间存在密切关联。全球最大的保险经纪公司Marsh McLennan
在最近的一项中也确认了这种关联性。

关于EPM的防御实践，BitSight最近给出的评分为“C”，这意味着该公司遭受攻击的可能性几乎是得“A”评分公司的七倍。

“尽管攻击者渗透EPM网络的方法仍不明朗，并且攻击者可能并未利用未修补的系统，但低评分的漏洞修补频率确实暗示了现有网络防御实践中的一些不足。”穆迪指出。

目前，穆迪尚未因该勒索攻击对EPM采取任何评级行动。穆迪还表示，会关注网络风险的长期影响，如果这种风险对公司运营产生持续压力，他们可能会下调组织的评级。据穆迪的高级副总裁杰里·格兰诺夫斯基
（Gerry Granovsky）在接受SC Media采访时表示，这种评估将考虑到公司的整体运营状况。