Ustawodawstwo dotyczące płatności ransomware: co ma sens, a co nie?

W ostatnich latach ataki ransomware stały się najbardziej dochodową gałęzią cyberprzestępczości. Najwięksi, najniebezpieczniejsi i odnoszący największe sukcesy cyberprzestępcy oraz odmiany oprogramowania ransomware wygenerowały do tej pory dziesiątki milionów dolarów w 2021 r. i nie wykazują oznak spowolnienia swojej aktywności. .

W obliczu tego burzliwego klimatu ransomware pojawiły się pomysły dotyczące ram prawnych, które mogą zakazać wszelkich płatności ransomware. Oczywiście pozornie powodem takiego zakazu byłoby to, że w ten sposób duże kwoty pieniędzy przestałyby spływać do skarbców hakerów i cyberprzestępców. Na papierze płacenie okupu zasadniczo finansuje cyberprzestępców.

Oczywiście sprawa nigdy nie jest taka prosta, a rzeczy nigdy nie są czarno-białe. Jak pokazało kilka ostatnich bardzo głośnych ataków ransomware w Stanach Zjednoczonych, zdarzają się przypadki, w których krytyczna infrastruktura zostaje zniszczona, a cały kraj bardzo na tym cierpi.

Colonial Pipeline, który zapłacił ponad 4 miliony dolarów okupu za narzędzie deszyfrujące, był kluczowym dostawcą paliwa płynnego dla całego Wschodniego Wybrzeża. Zadanie ransomware, które grupa DarkSide wykorzystała na Colonial, było zasadniczo tak szkodliwe, że dotknięte nią stany musiały zacząć transportować paliwo do odległych regionów za pomocą cystern.

Zablokowanie płatności ransomware również nie powstrzyma oczywiście całkowicie ataków. Ponadto, jeśli główna sieć obsługująca kluczową infrastrukturę zostanie uderzona, a formatowanie i ponowna instalacja zajmie zbyt dużo czasu, podobny zakaz płatności może potencjalnie rzucić całe stany na kolana i wprowadzić je w stan wyjątkowy.

Graeme Newman, międzynarodowy ubezpieczyciel ds. cyberbezpieczeństwa w dużej brytyjskiej firmie ubezpieczeniowej, która również zajmuje się ubezpieczeniami cybernetycznymi, wskazał na rozwiązanie pośrednie. Jeśli ustawodawcy chcą powstrzymać hakerów, którzy zdobywają miliony od niemal każdej większej firmy, ale jednocześnie chcą zapewnić dostawcom infrastruktury krytycznej sieć bezpieczeństwa, potrzebny byłby wyspecjalizowany organ lub system organów. . Podmioty te analizowałyby każdy atak indywidualnie i podejmowały ostateczną decyzję, czy płatność jest rzeczywiście konieczna i czy odmowa wpłynęłaby na istotną infrastrukturę.

Obecnie nie ma przeszkód prawnych, aby firma zaatakowana oprogramowaniem ransomware mogła dokonać płatności, niezależnie od tego, czy odbywa się to za pośrednictwem ubezpieczyciela, czy bezpośrednio. Jak prawdopodobne jest, że ta sytuacja zmieni się w dającej się przewidzieć przyszłości, dopiero się okaże.