Ransomware-betalningslagstiftning: Vad är vettigt och vad gör det inte?
Under de senaste åren har ransomware-attacker blivit den enskilt mest lukrativa grenen av cyberbrott. De största, farligaste och mest framgångsrika hotaktörerna och stammarna av ransomware har genererat dussintals miljoner dollar 2021 hittills och de visar inga tecken på att sakta ner med sin aktivitet.
Inför detta turbulenta ransomwareklimat har det funnits idéer kring ett lagstiftningsram som kan förbjuda alla ransomware-betalningar. Naturligtvis skulle resonemanget bakom ett sådant förbud på ytan naturligtvis vara att på detta sätt skulle stora summor pengar sluta rinna in i kassorna för hackare och hotaktörer. På papper finansierar cyberbrottslingar i huvudsak pengar.
Naturligtvis är frågan aldrig så enkel och saker är aldrig svartvita. Som de senaste få mycket högprofilerade ransomware-attackerna i USA har visat, finns det tillfällen där kritisk infrastruktur bryts ner och hela landet lider mycket av det.
Colonial Pipeline som betalade över 4 miljoner dollar i lösenpengar för att få ett dekrypteringsverktyg var den viktigaste leverantören av flytande bränsle för hela östkusten. Ransomware-jobbet som DarkSide-gruppen drog på Colonial var i huvudsak så skadligt att de drabbade staterna var tvungna att börja transportera bränsle till avlägsna regioner med tankvagnar.
Förbud mot ransomware-betalningar kommer naturligtvis inte att stoppa attacker helt. Dessutom, om ett större nätverk som tjänar vital infrastruktur drabbades och formatering och ominstallation skulle ta för lång tid, skulle ett liknande betalningsförbud potentiellt kunna sätta hela stater på knä och sätta dem i nödläge.
Graeme Newman, internationell cyberförsäkring hos ett stort brittiskt försäkringsbolag som också behandlar cyberförsäkring, påpekade en mellanliggande lösning. Om lagstiftare vill stoppa hackare att få miljoner från nästan alla större företag, men också vill ge kritiska infrastrukturleverantörer ett skyddsnät, skulle det behövas ett specialiserat organ eller ett system av organ. Dessa enheter skulle undersöka varje attack från fall till fall och fatta ett slutgiltigt beslut om betalningen verkligen är nödvändig och om vägran att det skulle påverka vital infrastruktur.
För närvarande finns det inget juridiskt hinder i vägen för ett företag som attackeras med ransomware för att genomföra betalningen, oavsett om detta görs via ett försäkringsbolag eller direkt. Hur sannolikt denna situation är att förändras inom överskådlig framtid återstår att se.
