Il dibattito sul divieto imposto dal governo degli Stati Uniti alle aziende di effettuare pagamenti per i ransomware è tornato alla ribalta. Recentemente, il Ransomware Task Force dell'Institute for Security and Technology ha pubblicato un promemoria sull'argomento. Il gruppo di lavoro ha dichiarato che vietare attualmente i pagamenti tramite ransomware negli Stati Uniti peggiorerà i danni per le vittime, la società e l'economia. Inoltre, le piccole imprese non possono resistere a una lunga interruzione aziendale e potrebbero chiudere dopo un attacco ransomware .
"Attualmente, la scarsità di dati disponibili indica che la maggior parte delle organizzazioni a livello globale non è ancora preparata a difendersi o a riprendersi da un attacco ransomware. Questa lacuna di preparazione rimane particolarmente problematica nei settori critici a risorse limitate che attualmente sono fortemente colpiti da attacchi ransomware, come sanità, formazione e governo," ha scritto il gruppo di lavoro nel memo.
Il promemoria accennava a un possibile divieto futuro e affermava che l'approccio più efficace per ridurre i pagamenti è un approccio pluriennale. Come parte del piano, la task force ha dichiarato che i governi e la comunità tecnica devono aiutare le aziende vittime di attacchi con opzioni di recupero diverse dal pagamento del ransomware.
Inoltre, i governi e la comunità tecnica devono rafforzare il supporto alle vittime per offrire alle organizzazioni colpite dagli attacchi opzioni alternative di recupero oltre al pagamento del ransomware. Per aumentare la capacità di un'organizzazione di riprendersi da un attacco senza pagare il ransomware, il gruppo di lavoro ha proposto le seguenti quattro linee di impegno, ciascuna con traguardi specifici:
Sebbene la task force abbia rifiutato di imporre un divieto sui pagamenti per il ransomware in questo momento, esistono attualmente altre normative e leggi che influenzano la decisione delle aziende di effettuare un pagamento per il ransomware. Nel 2020, il Dipartimento del Tesoro ha aggiunto potenziali sanzioni per assicuratori informatici, digitali forensi e risposta agli incidenti.
Inoltre, il Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA), ispirato agli attacchi SolarWinds, Microsoft Exchange Server e Colonial Pipeline, delinea i requisiti di segnalazione per le richieste di pagamento ransomware. I requisiti di segnalazione del Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), come indicato dal CIRCIA, stabiliscono che gli incidenti informatici devono essere segnalati entro 72 ore e i pagamenti per i ransomware devono essere segnalati entro 24 ore.
Mentre prosegue il dibattito su un divieto federale, mentre gli Stati Uniti si avvicinano a determinati traguardi, le organizzazioni continuano a decidere autonomamente se pagare o meno il ransomware. La posizione ufficiale di IBM è quella di non pagare mai gli aggressori del ransomware.
Tuttavia, la task force e altri esperti ritengono che vi siano molte ragioni per non imporre un divieto in questo momento:
Con la task force che fornisce una roadmap dettagliata, l'obiettivo è che le organizzazioni migliorino la loro capacità di difesa e di recupero da un attacco. Una volta che imprese e agenzie di governo avranno fatto progressi, la task force potrebbe riesaminare la fattibilità del divieto. Quando le aziende possono recuperare i propri dati con relativa facilità e tornare online rapidamente, la questione del pagamento dei risarcimenti per il ransomware diventa meno problematica.