عاد الجدل إلى الواجهة بشأن احتمال أن تحظر حكومة الولايات المتحدة على الشركات دفع مبالغ الفدية في هجمات برامج الفدية. ومؤخرًا، أصدرت فرقة عمل Ransomware Task Force التابعة لمعهد الأمن والتقنية مذكرة تتناول هذا الموضوع. وأوضحت فرقة العمل أن فرض حظر شامل على مدفوعات برامج الفدية في الولايات المتحدة في الوقت الراهن قد يزيد من حجم الأضرار التي يتعرض لها الضحايا والمجتمع والاقتصاد. كما حذّرت من أن الشركات الصغيرة غالبًا لا تتمكن من تحمّل توقّف أعمالها لفترات طويلة، وقد تضطر إلى الإغلاق نهائيًا بعد تعرّضها لهجوم من هجمات برامج الفدية.
"تشير البيانات المحدودة المتاحة حاليًا إلى أن غالبية المؤسسات حول العالم لا تزال غير مستعدة بما يكفي لصدّ هجمات برامج الفدية أو التعافي منها. وتظل فجوة الجاهزية هذه مقلقة على نحو خاص في القطاعات الحيوية محدودة الموارد، التي تتعرض حاليًا لضغط كبير من هجمات برامج الفدية، مثل الرعاية الصحية والتعليم والقطاع الحكومي"، بحسب ما جاء في المذكرة.
وألمحت المذكرة إلى احتمال فرض حظر على مدفوعات برامج الفدية في مرحلة لاحقة، لكنها شددت على أن النهج الأكثر فعالية للحد من هذه المدفوعات هو برنامج عمل يمتد لعدة سنوات. وكجزء من الخطة، أكدت فرقة العمل ضرورة أن تعمل الحكومات والمجتمع التقني معًا لمساعدة الشركات المتضررة على إيجاد مسارات تعافٍ بديلة لا تقوم على دفع مبالغ الفدية.
كما دعت إلى تعزيز برامج دعم الضحايا، حتى تتمكن المؤسسات المتضررة من الهجمات من الوصول إلى خيارات تعافٍ واضحة تتجاوز خيار سداد مدفوعات برامج الفدية. ولتعزيز قدرة المؤسسات على التعافي من هجمات برامج الفدية من دون اللجوء إلى الدفع، اقترحت فرقة العمل أربعة محاور رئيسية للعمل، مع تحديد معالم واضحة لكل محور من هذه المحاور.
رغم أن فريق العمل امتنع في هذه المرحلة عن التوصية بفرض حظر شامل على دفع مبالغ برامج الفدية، فإن هناك اليوم تشريعات ولوائح أخرى تؤثر بصورة مباشرة في قرارات الشركات بشأن سداد هذه المبالغ من عدمه. في عام 2020، أضافت وزارة الخزانة الأمريكية عقوبات محتملة تطال شركات التأمين الإلكتروني، وجهات التحليل الجنائي الرقمي، وفرق الاستجابة للحوادث.
إضافة إلى ذلك، يحدد قانون الإبلاغ عن الحوادث الإلكترونية للبنية التحتية الحيوية لعام 2022 (CIRCIA)، الذي استلهمته هجمات SolarWinds وMicrosoft Exchange Server وColonial Pipeline، متطلبات الإبلاغ عند تلقّي طلبات دفع مبالغ برامج الفدية. وبموجب متطلبات الإبلاغ المنصوص عليها في قانون CIRCIA، يجب الإبلاغ عن الحوادث الإلكترونية خلال 72 ساعة من وقوعها، وعن أي مدفوعات لبرامج الفدية خلال 24 ساعة.
ومع استمرار الجدل في الولايات المتحدة حول إمكان فرض حظر فيدرالي على مدفوعات برامج الفدية، واستمرار العمل على تحقيق المحطات التي حدّدها فريق العمل، تظلّ كل مؤسسة أمام قرارها الخاص: الدفع أو رفض الدفع. أما موقف IBM الرسمي فهو عدم دفع أي مبالغ لمخترقي برامج الفدية تحت أي ظرف.
ومع ذلك، يرى فريق العمل ومعه عدد من الخبراء أن هناك أسبابًا عديدة تجعل من غير الملائم فرض حظر شامل في الوقت الحالي:
بفضل خارطة الطريق المفصّلة التي وضعها فريق العمل، يُفترض أن تعمل المؤسسات على رفع جاهزيتها للدفاع في مواجهة هجمات برامج الفدية وتعزيز قدرتها على التعافي منها. وعندما تحرز الشركات والجهات الحكومية تقدمًا ملموسًا على صعيد الوقاية والاستجابة، قد يعيد فريق العمل تقييم جدوى فرض حظر على مدفوعات الفدية. وعندما تصبح لدى المؤسسات القدرة على استعادة بياناتها بسرعة وبأقل خسائر، وإعادة تشغيل أنظمتها الرقمية خلال وقت قصير، يتراجع وزن سؤال "هل ندفع الفدية أم لا؟" في معادلة اتخاذ القرار.