Lovgivning om betaling av løsepenger: Hva gir mening og hva gjør ikke det?

De siste årene har ransomware-angrep blitt den mest lukrative grenen av nettkriminalitet. De største, farligste og mest vellykkede trusselsaktørene og stammer av ransomware har generert dusinvis av millioner av dollar i 2021 så langt, og de viser ingen tegn til å bremse ned med aktiviteten.

I møte med dette turbulente ransomware-klimaet, har det blitt kastet ideer rundt et lovgivningsmessig rammeverk som kan forby all betaling av ransomware. Selvfølgelig vil begrunnelsen bak et slikt forbud på overflaten være at på denne måten ville store mengder penger slutte å strømme inn i kassen til hackere og trusselaktører. På papir er det i hovedsak å finansiere cyberkriminelle ved å betale opp løsepenger.

Selvfølgelig er problemet aldri så enkelt, og ting er aldri svart og hvitt. Som de siste få svært profilerte ransomware-angrepene i USA har vist, er det tilfeller der kritisk infrastruktur blir brutt ned og hele landet lider sterkt av det.

Colonial Pipeline som betalte over 4 millioner dollar i løsepenger for å få et dekrypteringsverktøy, var nøkkelleverandøren av flytende drivstoff for hele østkysten. Ransomware-jobben som DarkSide-gruppen trakk på Colonial, var i det vesentlige så skadelig at de berørte statene måtte begynne å transportere drivstoff til fjerntliggende regioner ved hjelp av tankbiler.

Å forby ransomware-betalinger vil heller ikke stoppe angrep helt, selvfølgelig. I tillegg, hvis et stort nettverk som betjener viktig infrastruktur ble truffet og formatering og installering på nytt ville ta for lang tid, kan et lignende betalingsforbud potensielt bringe hele stater på kne og sette dem i unntakstilstand.

Graeme Newman, internasjonal cyber-underwriter i et stort britisk forsikringsselskap som også beskjeftiger seg med cyberforsikring, påpekte en mellomløsning. Hvis lovgivere ønsker å stoppe hackere med å få millioner fra omtrent ethvert større selskap, men også ønsker å gi kritiske infrastrukturleverandører et sikkerhetsnett, vil det være behov for et spesialorgan eller et organ med organer. Disse enhetene vil undersøke hvert angrep fra sak til sak og ta en endelig avgjørelse om betalingen virkelig er nødvendig, og om det å nekte den vil påvirke viktig infrastruktur.

Foreløpig er det ingen juridisk hindring i veien for et selskap angrepet med løsepenger for å utføre betalingen, enten dette gjøres gjennom et forsikringsselskap eller direkte. Hvor sannsynlig denne situasjonen er for å endre seg i overskuelig fremtid, gjenstår å se.