Lovgivning om betaling af ransomware: Hvad giver mening, og hvad gør det ikke?

I de senere år er ransomware-angreb blevet den mest lukrative gren af cyberkriminalitet. De største, farligste og mest succesrige trusselsaktører og stammer af ransomware har hidtil genereret snesevis af millioner af dollars i 2021, og de viser ingen tegn på at bremse ned med deres aktivitet.

I lyset af dette turbulente ransomware-klima har der været ideer kastet rundt om en lovgivningsmæssig ramme, der muligvis forbyder alle ransomware-betalinger. Naturligvis ville argumentet bag et sådant forbud på overfladen være, at store mængder penge på denne måde ville stoppe med at strømme ind i kassen til hackere og trusselsaktører. På papir finansierer cyberkriminelle i det væsentlige at betale løsesum.

Naturligvis er problemet aldrig så simpelt, og tingene er aldrig sort og hvid. Som de seneste få meget højt profilerede ransomware-angreb i USA har vist, er der tilfælde, hvor kritisk infrastruktur bringes ned, og hele landet lider meget af det.

Colonial Pipeline, der betalte over 4 millioner dollars i løsepenge for at få et dekrypteringsværktøj, var nøgleleverandøren af flydende brændstof til hele østkysten. Det ransomware-job, som DarkSide-gruppen trak på Colonial, var i det væsentlige så skadeligt, at de berørte stater måtte begynde at transportere brændstof til fjerntliggende regioner ved hjælp af tankvogne.

Forbud mod ransomware-betalinger vil naturligvis heller ikke stoppe angreb helt. Derudover, hvis et større netværk, der betjener vital infrastruktur, blev ramt, og formatering og geninstallation ville tage for lang tid, kunne et lignende betalingsforbud potentielt bringe hele stater på knæ og sætte dem i en undtagelsestilstand.

Graeme Newman, international cyber-underwriter hos et stort britisk forsikringsselskab, der også beskæftiger sig med cyberforsikring, påpegede en mellemliggende løsning. Hvis lovgivere vil stoppe hackere med at få millioner fra stort set ethvert større firma, men også ønsker at give kritiske infrastrukturudbydere et sikkerhedsnet, ville det være nødvendigt med et specialiseret organ eller organ. Disse enheder ville undersøge hvert angreb fra sag til sag og træffe en endelig beslutning om, hvorvidt betalingen virkelig er nødvendig, og om afvisning af det ville påvirke vital infrastruktur.

I øjeblikket er der ingen juridisk hindring i vejen for, at et firma angribes med ransomware for at gennemføre betalingen, hvad enten det sker gennem et forsikringsselskab eller direkte. Hvor sandsynligt denne situation er for at ændre sig inden for en overskuelig fremtid, skal man stadig se.