是否应该全面禁止支付勒索软件赎金？

关于美国政府禁止企业支付勒索软件赎金的辩论再度成为焦点。近期，安全与技术研究所勒索软件特别工作组就此议题发布了一份备忘录该工作组指出，在当前阶段于美国实施赎金支付禁令将加剧对受害者、社会及经济造成的损害。此外，小型企业无法承受冗长的业务中断，可能在遭受勒索软件攻击后倒闭。

“目前有限的现有数据表明，全球大多数组织对防御勒索软件攻击或从中恢复的准备仍不充分。这种准备不足的问题在资源受限的关键领域尤为突出——这些领域当前正深受勒索软件攻击影响，例如医疗保健、教育和政府部门，”特别工作组在备忘录中写道。

特别工作组设定潜在支付禁令前需达成的里程碑

备忘录暗示未来可能实施禁令，并指出减少赎金支付的最有效途径是采取多年期方案。作为该计划的一部分，特别工作组表示政府和技术界需要为遭受攻击的企业提供除支付赎金外的其他恢复方案支持。

此外，政府和技术界需加强受害者援助，为受攻击影响的组织提供支付赎金之外的替代恢复选择。为提升组织在不支付赎金的情况下从攻击中恢复的能力，特别工作组提出以下四项重点工作方向，每项均设具体里程碑：

  • 工作方向一：生态系统准备
  • 工作方向二：威慑
  • 工作方向三：干扰
  • 工作方向四：响应

当前关于支付勒索软件赎金的相关法规

尽管特别工作组目前拒绝实施支付勒索软件赎金的禁令，但现有其他法规和法律会影响企业支付赎金的决策。2020 年，美国财政部新增了对网络保险公司、数字取证及事件响应机构的潜在制裁措施

此外，受 SolarWinds、Microsoft Exchange Server 和 Colonial Pipeline 攻击事件启发而制定的《2022 年关键基础设施网络事件报告法案》(CIRCIA)，明确了针对勒索软件赎金支付请求的报告要求。根据 CIRCIA 的指示，《关键基础设施网络事件报告法案》(CIRCIA) 报告要求规定，网络事件必须在 72 小时内上报，勒索软件赎金支付则必须在 24 小时内报告。

禁令是否明智？

随着美国朝着既定里程碑推进，关于联邦禁令的辩论持续进行，各组织仍在自行决定是否支付勒索软件赎金。IBM 的官方立场是绝不向勒索软件攻击者支付赎金。

联邦禁令对勒索软件赎金支付的积极影响
  • 禁令可能减少犯罪活动。 由于网络犯罪分子实施勒索软件攻击是为了牟利，禁止支付赎金或可导致攻击减少。 《2024 年 IBM 威胁情报报告》 发现勒索软件攻击下降了 11.5%，这可能是由于许多组织不再支付赎金。
  • 企业即使满足网络罪犯的要求，也并非总能取回数据。 当公司支付勒索软件赎金时，他们相信罪犯会归还数据。然而， Veeam勒索软件趋势报告 发现，21% 的公司付款后仍未拿回数据。

联邦禁令对勒索软件赎金支付的负面影响

然而，特别工作组及其他专家认为，目前存在诸多不应实施禁令的理由：

  • 组织可能面临停业。 如果组织无法恢复数据且被禁止支付赎金，则无法继续开展业务。因此，该企业（尤其是规模较小者）可能会停止运营。
  • 受害者可能隐瞒勒索软件攻击与付款行为。 若企业因付款面临处罚，他们很可能选择隐瞒付款事实。当付款行为未被上报时，政府将无法获得准确记录。
  • 支付赎金后可能遭受敲诈。 将付款行为非法化可能产生意外后果，例如敲诈勒索。攻击发生后，罪犯可能以公开攻击和付款信息为 要挟，向组织 勒索更多钱财。

迈向做好应对勒索软件准备的组织

随着特别工作组提供详细路线图，其目标是提升组织防御攻击及从中恢复的能力。一旦企业和政府机构取得进展，特别工作组可能会重新评估禁令的可行性。当企业能够相对轻松地恢复数据并快速重新上线时，是否支付赎金将不再是核心难题。