Rząd ogłosił pakiet przepisów nastawiony na rozbicie modelu biznesowego hakerów posługujących się złośliwym oprogramowaniem szyfrującym. Odtąd grupy cyberprzestępcze będą miały mocno pod górkę.
Zasadnicza zmiana dotyczy instytucji takich jak szpitale NHS, szkoły, samorządy czy operatorzy infrastruktury krytycznej – nie będą oni mogli legalnie zapłacić okupu, nawet jeśli atak sparaliżuje ich działalność. Sektor prywatny nadal będzie miał szansę wykupienia się od hakerów, ale pod warunkiem zgłoszenia takiego zamiaru i uzyskania zgody. – Przestępcy niemogący liczyć na zapłatę okupu zawsze i wszędzie przestaną atakować – zapowiada Dan Jarvis, minister ds. bezpieczeństwa.
Ransomware zagraża bezpieczeństwu państwa
Według Ministerstwa Spraw Wewnętrznych cyberataki z użyciem ransomware kosztują brytyjską gospodarkę setki milionów funtów rocznie. Wiele z tych ataków prowadzą zorganizowane grupy cyberprzestępcze, nierzadko powiązane z państwami objętymi sankcjami. Częściowo blokując możliwość legalnych wypłat okupu, rząd chce ograniczyć dopływ pieniędzy do takich grup.
Nowe prawo to część strategii cyberbezpieczeństwa nastawionej na przejście od reaktywnej polityki do prewencji. Zgromadzone fakty z incydentów mają umożliwić analizę schematów działania przestępców i pozwolić szybciej identyfikować zagrożenia.
Atak WannaCry był punktem zwrotnym
Wprowadzenie nowych przepisów to nie efekt pojedynczego incydentu, lecz odpowiedź na wieloletnie zagrożenie. Szczególnie głośny był atak, znany jako WannaCry, który sparaliżował działanie brytyjskiej służby zdrowia. W jego wyniku odwołano tysiące wizyt lekarskich, a wiele placówek musiało działać w trybie awaryjnym.
Dodatkowo rząd Wielkiej Brytanii przeprowadził publiczne konsultacje, z których wynika, że blisko trzy czwarte uczestników popiera zakaz płacenia okupu.
Zakaz zapłaty okupu może zmusić ofiary do złamania prawa
Rządowa strategia na pierwszy rzut oka wygląda logicznie – ograniczyć zysk przestępców, by zniechęcić ich do ataków – ale sceptyków nie brakuje.
W przypadku delikatnych przestrzeni, jakimi są np. szpitale czy wodociągi, odmowa zapłaty może poskutkować poważnym zagrożeniem dla zdrowia lub życia. W takich sytuacjach istnieje ryzyko, że ludzie będą szukać sposobów na obejście prawa i mimo wszystko zapłacą, a wtedy z roli ofiary niechcący wejdą w rolę… przestępców.
Podobne przepisy wprowadzono już w niektórych stanach USA, jak Karolina Północna czy Floryda. Jednak brakuje jednoznacznych danych, które potwierdzałyby ich skuteczność w zmniejszeniu liczby cyberataków.
