Legislazione sui pagamenti ransomware: cosa ha senso e cosa no?
Negli ultimi anni, gli attacchi ransomware sono diventati il ramo più redditizio della criminalità informatica. I più grandi, pericolosi e di maggior successo, gli attori di minacce e i ceppi di ransomware hanno generato finora decine di milioni di dollari nel 2021 e non mostrano segni di rallentamento con la loro attività.
Di fronte a questo turbolento clima di ransomware, sono state lanciate idee in merito a un quadro legislativo che potrebbe vietare tutti i pagamenti di ransomware. Ovviamente, in apparenza, il ragionamento alla base di un tale divieto sarebbe che in questo modo grandi quantità di denaro smetterebbero di fluire nelle casse degli hacker e degli attori delle minacce. Sulla carta, pagare il riscatto è essenzialmente finanziare i criminali informatici.
Certo, la questione non è mai così semplice e le cose non sono mai in bianco e nero. Come hanno dimostrato gli ultimi attacchi ransomware di alto profilo negli Stati Uniti, ci sono casi in cui l'infrastruttura critica viene abbattuta e l'intero paese ne soffre molto.
Colonial Pipeline, che ha pagato oltre 4 milioni di dollari in riscatto per ottenere uno strumento di decrittazione, era il fornitore chiave di carburante liquido per l'intera costa orientale. Il lavoro di ransomware che il gruppo DarkSide ha eseguito su Colonial è stato essenzialmente così dannoso che gli stati colpiti hanno dovuto iniziare a trasportare carburante nelle regioni periferiche utilizzando autocisterne.
Ovviamente, anche vietare i pagamenti di ransomware non fermerà completamente gli attacchi. Inoltre, se una rete importante che serve infrastrutture vitali viene colpita e la formattazione e la reinstallazione richiedono troppo tempo, un simile divieto di pagamento potrebbe potenzialmente mettere in ginocchio interi stati e metterli in uno stato di emergenza.
Graeme Newman, cyber underwriter internazionale presso una grande compagnia di assicurazioni del Regno Unito che si occupa anche di cyber assicurazioni, ha indicato una soluzione intermedia. Se i legislatori vogliono impedire agli hacker di ottenere milioni da qualsiasi azienda più grande, ma vogliono anche fornire ai fornitori di infrastrutture critiche una rete di sicurezza, sarebbe necessario un organismo o un sistema di organismi specializzati. Tali entità esaminerebbero ogni attacco caso per caso e prenderebbero una decisione definitiva se il pagamento sia realmente necessario e se il suo rifiuto pregiudicherebbe le infrastrutture vitali.
Attualmente non esiste alcun ostacolo legale nel modo in cui un'azienda attaccata con ransomware effettua il pagamento, sia che ciò avvenga tramite un assicuratore o direttamente. Resta da vedere quanto sia probabile che questa situazione cambi nel prossimo futuro.
