Brytyjski rząd ogłosił pakiet regulacji nastawiony na rozbicie modelu biznesowego cyberprzestępców posługujących się złośliwym oprogramowaniem szyfrującym dane ofiar. Grupy cyberprzestępcze będą miały mocno pod górkę.
Zasadnicza zmiana dotyczy instytucji publicznych, takich jak szpitale NHS, szkoły, samorządy i operatorzy infrastruktury krytycznej – nie będą oni mogli już legalnie zapłacić okupu, nawet jeśli atak sparaliżuje ich działalność. Sektor prywatny nadal będzie miał możliwość wykupu danych, ale pod warunkiem zgłoszenia takiego zamiaru i uzyskania zgody władz. – Jeśli przestępcy nie mogą liczyć na wypłatę, przestaną atakować – mówi Dan Jarvis, minister ds. bezpieczeństwa.
Ransomware uderza w gospodarkę i zagraża bezpieczeństwu państwa
Według danych brytyjskiego Ministerstwa Spraw Wewnętrznych cyberataki z użyciem ransomware kosztują brytyjską gospodarkę setki milionów funtów rocznie. Wiele z tych ataków prowadzą zorganizowane grupy cyberprzestępcze, nierzadko powiązane z państwami objętymi sankcjami. Blokując możliwość legalnych wypłat okupu, rząd chce ograniczyć dopływ pieniędzy do takich grup.
Nowe regulacje to część szerszej strategii cyberbezpieczeństwa, której celem jest przejście od reaktywnej polityki do działań prewencyjnych. Zgromadzone dane z incydentów mają umożliwić analizę schematów działania przestępców i pozwolić szybciej identyfikować zagrożenia.
Atak WannaCry był punktem zwrotnym
Wprowadzenie nowych przepisów to nie efekt pojedynczego incydentu, lecz odpowiedź na wieloletnie zagrożenie. Szczególnie głośny był atak, znany jako WannaCry, który sparaliżował działanie brytyjskiej służby zdrowia. W jego wyniku odwołano tysiące wizyt lekarskich, a wiele placówek musiało działać w trybie awaryjnym.
Dodatkowo rząd Wielkiej Brytanii przeprowadził publiczne konsultacje, z których wynika, że blisko trzy czwarte uczestników popiera zakaz płacenia okupu.
Zakaz zapłaty okupu może zmusić ofiary do złamania prawa
Rządowa strategia na pierwszy rzut oka wygląda logicznie – ograniczyć zysk przestępców, by zniechęcić ich do ataków – ale sceptyków nie brakuje.
Krytycy ostrzegają, że w przypadku delikatnych przestrzeni, jakimi są np. szpitale czy wodociągi, odmowa zapłaty może poskutkować poważnym zagrożeniem dla zdrowia lub życia. W takich sytuacjach istnieje ryzyko, że organizacje będą szukać sposobów na obejście prawa i mimo wszystko zapłacą. I wtedy z roli ofiary automatycznie wcielą się w rolę przestępców.
Podobne przepisy wprowadzono już w niektórych stanach USA, jak Karolina Północna czy Floryda. Jednak brakuje jednoznacznych danych, które potwierdzałyby ich skuteczność w zmniejszeniu liczby cyberataków.
