Legislação de pagamento de ransomware: o que faz sentido e o que não faz?
Nos últimos anos, os ataques de ransomware se tornaram o ramo mais lucrativo do crime cibernético. Os maiores, mais perigosos e mais bem-sucedidos agentes de ameaças e cepas de ransomware geraram dezenas de milhões de dólares em 2021 até agora e não mostram sinais de desaceleração em suas atividades.
Diante desse clima turbulento de ransomware, surgiram ideias sobre uma estrutura legislativa que poderia proibir todos os pagamentos de ransomware. É claro que, superficialmente, o raciocínio por trás de tal proibição seria que, dessa forma, grandes quantias de dinheiro parariam de fluir para os cofres dos hackers e agentes de ameaças. No papel, pagar o resgate é essencialmente financiar criminosos cibernéticos.
Claro, o problema nunca é tão simples e as coisas nunca são preto e branco. Como os últimos poucos ataques de ransomware de alto perfil nos Estados Unidos mostraram, há casos em que a infraestrutura crítica é derrubada e todo o país sofre muito com isso.
A Colonial Pipeline, que pagou mais de $ 4 milhões em dinheiro de resgate para obter uma ferramenta de descriptografia, foi o principal fornecedor de combustível líquido para toda a Costa Leste. O trabalho de ransomware que o grupo DarkSide executou no Colonial era essencialmente tão prejudicial que os estados afetados tiveram que começar a transportar combustível para regiões remotas usando caminhões-tanque.
A proibição de pagamentos de ransomware também não interromperá os ataques completamente, é claro. Além disso, se uma grande rede que serve infraestrutura vital for atingida e a formatação e reinstalação demorarem muito, uma proibição de pagamento semelhante poderia colocar estados inteiros de joelhos e colocá-los em estado de emergência.
Graeme Newman, subscritor cibernético internacional de uma grande seguradora do Reino Unido que também lida com seguro cibernético, apontou uma solução intermediária. Se os legisladores quiserem impedir que os hackers recebam milhões de praticamente qualquer empresa maior, mas também quiserem dar aos provedores de infraestrutura crítica uma rede de segurança, um órgão ou sistema de órgãos especializados será necessário. Essas entidades examinariam cada ataque caso a caso e tomariam uma decisão final se o pagamento é realmente necessário e se recusá-lo afetaria a infraestrutura vital.
Atualmente não existe nenhum obstáculo legal que impeça uma empresa atacada com ransomware de efetuar o pagamento, seja por meio de uma seguradora ou diretamente. A probabilidade de essa situação mudar em um futuro previsível ainda está para ser visto.
