W programie telewizyjnym Strzałka, playboy-miliarder Oliver Queen wraca do Star City po tym, jak został uwięziony na wyspie, ale okazuje się, że jest opanowana przez przestępczość i korupcję. Oliver Queen zakłada zielony kaptur, chwyta łuk i strzały i jako Zielona Strzała stawia czoła przestępczym elementom Star City. Kiedy Green Arrow rozprawiał się ze złoczyńcą, krzyczał: „Zawiodłeś to miasto”.
To hasło wydaje mi się aktualne dzisiaj, gdy toczy się debata na temat tego, czy rządy powinny wdrożyć te rozwiązania zakaz płacenia okupu do grup zajmujących się oprogramowaniem ransomware. Znaleźliśmy się w tej sytuacji, ponieważ społeczność zajmująca się bezpieczeństwem nie zapewniła odpowiedniej ochrony osobom, które powinniśmy chronić. Oczywiście nie tak to jest przedstawiane. Zamiast tego w rzadkich przypadkach, gdy dowiadujemy się, jak doszło do ataku oprogramowania ransomware, na pierwszych stronach gazet pojawiają się informacje podobne do ofiary nie włączył poprawnie usługi MFA albo oni nie załatał luki lub inne niepowodzenie ze strony ofiary. Prawda jest taka, że utrudniamy odpowiednie zabezpieczenie i utrzymanie dobrego poziomu bezpieczeństwa. Zmuszamy organizacje do pokonywania trudności, aby zrozumieć swoje słabości i słabe punkty, i rzucamy na nie tak wiele, że nawet najbardziej wyposażone organizacje nie są w stanie nadążyć za wszystkim, co muszą zrobić, aby zachować każdy aspekt zabezpieczenia swoich coraz bardziej złożonych sieci.
Nieuchronnie prowadzi to do awarii bezpieczeństwa i ataków oprogramowania ransomware. Kiedy dochodzi do takich ataków, obwiniamy ofiarę: „Och, dlaczego nie nałożyli na to wszystko MFA?” Nieważne, jak trudno niektórym dostawcom włączyć usługę MFA. Albo: „Jak mogli nie załatać tego systemu?” Ignorowanie faktu, że organizacje mogą posiadać 50 „krytycznych” luk, które należy „natychmiast załatać”. Słyszymy nawet chórki: „Jak mogą nadal korzystać z dostawcy X, skoro ma on tak wiele luk w zabezpieczeniach?” Pomimo faktu, że zmiana dostawcy jest długim procesem i istnieje duża szansa, że wielu konkurentów dostawcy X ma tyle samo luk w zabezpieczeniach.
Mimo tego całego wytykania palcami i zawstydzania ofiar rzadko kiedy patrzymy na branżę bezpieczeństwa jako całość i zdajemy sobie sprawę, jaki panuje tam całkowity bałagan. Jak możemy oczekiwać, że odpowiednio zabezpieczymy osoby, które mamy chronić, skoro nie możemy się zebrać w sobie?
Zatem pozostają nam coraz bardziej niedoskonałe rozwiązania, które prawdopodobnie nie będą działać, ponieważ nic innego, co robimy – przynajmniej mamy ochotę zrobić – nie działa.
Wprowadź ogólnorządowe zakazy płatności na rzecz grup zajmujących się oprogramowaniem ransomware. Jest to kolejny krok w coraz bardziej zaostrzających się środkach mających na celu uzupełnienie niedociągnięć w zakresie ochrony. Czy to dobry pomysł? Nie. Czy ktoś będzie zadowolony ze sposobu jego wdrożenia? Nie. Czy to zatrzyma oprogramowanie ransomware? Kilka przypadków testowych, które widzieliśmy w niektórych miejscach jak Karolina Północna i Florydazakazy płacenia okupu nie zmniejszyły liczby ataków.
Ale ostatecznie może to być najmniej zła dostępna dla nas opcja.
Wiem, że nie jest to zbyt rażące poparcie. Ale nie sądzę, żeby ktokolwiek chciał, żeby do tego doszło. Dobra wiadomość jest taka, że nie musimy działać w ciemno. Jak zauważyliśmy wraz z moją koleżanką Sofią Lesmes, mamy historię dotyczącą prawa zakazującego płacenia okupu porywaczom, z której możemy się uczyć i powinniśmy poważnie potraktować te lekcje.
Odbyło się już wiele świetnych debat, w których przedstawiono powody, dla których zakaz płatności na rzecz grup zajmujących się oprogramowaniem ransomware jest konieczny. Nie będę powtarzał tych powodów. Prawda jest taka, jak zauważyli inni eksperci, powody niewdrożenia zakazu rozpadają się po dokładnej analizie.
Zamiast tego chcę podkreślić, że do każdego zakazu płatności za oprogramowanie ransomware należy dołączyć publiczne raportowanie. Wspomniałem wcześniej, że naszym zdaniem zakazy płatności wprowadzone w stanach Floryda i Karolina Północna nie okazały się skuteczne. Opiera się to na liczbie ataków zebranych w raportach open source. Ani Karolina Północna, ani Floryda nie oferują możliwości weryfikacji skuteczności prawa poprzez dostarczanie informacji o liczbie ataków ransomware na podmioty publiczne objęte prawem.
Bez skutecznego i publicznego systemu sprawozdawczości my, podatnicy, nie możemy ocenić skuteczności tych zakazów, a prawodawcy nie mogą wprowadzać niezbędnych zmian w przepisach. Niektórzy mogą argumentować, że przymus zgłaszania ataków zachęci organizacje do prób ukrywania ataków oprogramowania ransomware. Jasne, ale organizacje robią to teraz i zgodnie z obowiązującym prawem, jeśli zostaną złapane, poniosą konsekwencje. Była to jedna z obaw, gdy Departament Zdrowia i Opieki Społecznej nakazał składanie sprawozdań przez podmioty świadczące opiekę zdrowotną w Stanach Zjednoczonych. Tak się nie stało i obecnie mamy lepszy, niedoskonały, ale lepszy wgląd w cyberataki na sektor opieki zdrowotnej w Stanach Zjednoczonych niż prawie jakikolwiek inny sektor.
Zakaz płacenia okupu w połączeniu z rygorystycznymi wymogami dotyczącymi zgłaszania przez ofiary ataków oprogramowania ransomware pozwoli nam lepiej kontrolować liczbę ataków oprogramowania ransomware i pomoże nam wspólnie ustalić, gdzie przeznaczyć zasoby, aby spróbować powstrzymać ataki. To okropne rozwiązanie, którego nikt nie chce, ale dopóki nie opracujemy rozwiązań w zakresie bezpieczeństwa, które będą skuteczne, a jednocześnie nie będą nadmiernie kłopotliwe i skomplikowane, może to być jedyny sposób, w jaki możemy przestać zawieść ludzi, których mamy chronić.
Allan Liska jest analitykiem zagrożeń w firmie Zapisana przyszłość.