这种情况越来越多的企业将不得不面对。"攻击持续增加，"安全厂商Absolute Software委托进行这项调查，其首席执行官Christy Wyatt表示。"企业在应对攻击方面有所准备——部分培训正在见效，AI也在发挥作用。但别忘了，攻击者拥有防御者所有的工具。"

在这项针对美英两国共750名CISO的调查中，58%表示他们的组织愿意支付费用以终止勒索软件事件。

这与两国执法部门的建议背道而驰。"英国政府的长期立场是，与执法部门合作伙伴一道，不鼓励、不支持、不纵容赎金支付要求。"英国国家网络安全中心（NCSC）的一位女发言人表示。

美国联邦调查局（FBI）同样警告不要屈服于勒索软件要求，并指出支付只会鼓励攻击者去攻击更多目标。

执法部门建议企业不支付的另一个原因是：即使支付了，也不能保证拿回数据。

考虑到这些风险和执法部门的反对，那些表示愿意支付的CISO，有多少会在关键时刻真正这么做？

由于被认为"丢脸"，很难获得确切统计数据，但证据表明相当数量的企业确实支付了赎金。

根据IDC去年的一项调查，遭遇勒索软件攻击的企业中，37%支付了赎金。但IDC安全服务研究总监David Clemente认为，这一比例可能更大。"我确信还有更多企业支付了赎金，只是不想公开承认。"他说。

然而，支付赎金后并非所有企业都能完事：根据IDC的数据，约5%的企业发现"解密不完整"。

保险公司Hiscox于2025年底的调查发现，支付赎金的中小企业中，只有60%成功恢复了全部或部分数据。

Absolute的Wyatt警告说："你可能拿回数据，也可能拿不回来。"即便拿回了数据，也不意味着只有你拥有它："我们听到过一些案例，企业支付赎金后，发现自己的凭证正在被分享。"

那么，这是否意味着企业不应该支付赎金？

IDC的研究发现，有预案的企业能够抵抗攻击——虽然会有不良影响。"约29%的企业能够从备份中恢复加密文件。"Clemente说。"然而，33%未支付赎金的企业发现，他们什么都无法恢复。"

英国零售商M&S（马莎百货）在2025年4月遭遇勒索软件攻击时没有支付赎金，导致内部物流系统中断，被迫关闭线上商店数月。该公司估计此次事件造成4亿美元的营业利润损失。

勒索软件支付困境对CISO来说仍然是一个难题，但M&S案例可能说明的道理是：如果遭遇勒索软件攻击，除非对自己的备份质量和稳健性非常有信心，否则支付赎金可能是最好的选择——政府和执法部门不会替你面对股东的怒火。