OK, wysłuchaj mnie. W latach 60. i 70. Wielka Brytania zaczęła się rozwijać politykę nienegocjacji w odpowiedzi na rosnącą liczbę incydentów terrorystycznych, głównie z Irlandii Północnej; choć byłby to inny, bardziej znany przykład braku negocjacji oblężenie ambasady Iranu w 1980 r. W USA stanowisko to zaczęto tolerować w latach 70. i 80. XX w., również w odniesieniu do Bliskiego Wschodu źródła są podzielone co do tego, czy prezydent Richard Nixon czy Jimmy Carter jako pierwszy oficjalnie użyli słynnego sformułowania: „Nie negocjujemy z terrorystami”.
Ten słynny i często cytowany fragment dźwiękowy działa, ponieważ jest mocny, jasny, ostateczny i wydaje się przyjmować pryncypialne stanowisko. Rzeczywistość jest jednak taka, że zarówno Wielka Brytania, jak i USA negocjują… kiedy im to odpowiada. Co więcej, taka retoryka doprowadziła do straconych szans, utraty życia i hipokryzji. Jednym z najwyraźniejszych przykładów sytuacji, w których negocjacje z określonymi grupami terrorystycznymi doprowadziły do pozytywnego wyniku, jest: Porozumienie Wielkopiątkowe z 1998 r która została zawarta między rządami Wielkiej Brytanii i Irlandii a ośmioma partiami lub ugrupowaniami politycznymi z Irlandii Północnej w wyniku negocjacji wielostronnych. Istotną rolę w wynegocjowaniu porozumienia odegrał także rząd USA, któremu przewodniczył senator George Mitchell. Porozumienie to doprowadziło do powstania zgromadzenia o podziale władzy, które miało rządzić Irlandią Północną, i utorowało drogę grupom paramilitarnym do wycofania broni.
Aby zobaczyć przykład sytuacji, gdy negocjacje i brak negocjacji przyniosły drastycznie różne rezultaty, wystarczy spojrzeć na los zakładników przetrzymywanych przez niesławnych członków ISIS, nazywanych „The Beatles”. Choć niewątpliwie brutalna i winna egzekucji brytyjskich i amerykańskich dziennikarzy oraz pracowników organizacji humanitarnych, grupa po negocjacjach uwolniła wszystkich pozostałych zachodnich jeńców i w zamian za duże sumy gotówki.
Czy płacenie okupu zachęca do przestępstwa?
Jednym z kluczowych argumentów za niepłaceniem okupu ani nawet nie negocjowaniem jest to, że takie działania zachęcają do przestępstwa; przyczyniając się w ten sposób do jego wzrostu. W swojej książce Chcemy negocjować: sekretny świat porwań, zakładników i okupu, Joel Simon zagłębia się w politykę braku koncesji i pokazuje, jak jej przestrzeganie, zamiast chronić ludzi poprzez usuwanie tych zachęt, w rzeczywistości naraża ich na większe ryzyko krzywdy. Krótko mówiąc, wieloletnia polityka braku ustępstw nie zapobiegła wzięciom brytyjskich i amerykańskich zakładników, a jedynie doprowadziła do ich śmierci.
Ostatnio wznowiono rozmowy aby uczynić płatności za oprogramowanie ransomware nielegalnymi. Po raz kolejny założeniem tego argumentu jest to, że płacenie okupu zachęca do rozwoju ekosystemu oprogramowania ransomware. Biorąc pod uwagę wcześniejsze punkty, warto zastanowić się nad kluczowym pytaniem: Czy sądzisz, że jeśli haker nie będzie miał już motywacji finansowej do hakowania, to przestanie hakować?
Jeśli Twoja odpowiedź brzmi „nie”, należy znaleźć inny mechanizm. Jeśli Twoja odpowiedź brzmi „tak”, może Cię zaskoczyć fakt, że w rzeczywistości istnieją już przepisy zabraniające płatności za okup i oprogramowanie ransomware zarówno podmiotom z Wielkiej Brytanii, jak i USA. W USA Biuro Kontroli Aktywów Zagranicznych (OFAC) podlegające Departamentowi Skarbu ma przepisy zabraniające dokonywania transakcji, w tym płatności okupu, na rzecz osób lub podmiotów znajdujących się na liście specjalnie wyznaczonych obywateli (SDN). OFAC wydał zalecenie w październiku 2020 r w szczególności odnośnie płatności za oprogramowanie ransomware. Ostrzegł, że dokonanie płatności na rzecz osoby lub podmiotu objętego sankcjami może skutkować karami cywilnymi zgodnie z prawem Stanów Zjednoczonych, niezależnie od tego, czy płatnik wiedział lub powinien był wiedzieć, że uczestniczy w zabronionej transakcji. W Wielkiej Brytanii, Rozporządzenia dotyczące sankcji cybernetycznych (wyjście z UE) z 2020 r weszły w życie pod koniec 2020 r. i zabraniają transakcji z wyznaczonymi osobami zaangażowanymi w cyberprzestępczość. Obejmuje to płatności okupu na rzecz osób atakujących oprogramowanie ransomware. Nieprzestrzeganie może skutkować karami karnymi, w tym karą pozbawienia wolności lub grzywną. Do tej pory nie znalazłem żadnego przypadku, aby ktokolwiek był ścigany za zapłatę okupu za osobę lub za odzyskanie/ochronę danych, co samo w sobie stanowi precedens.
Wady nielegalnego dokonywania płatności okupu
Nielegalne płatności za pomocą oprogramowania ransomware mają również dodatkowe negatywne skutki. Jest prawdopodobne, że liczba zgłaszanych incydentów zmniejszy się, co potencjalnie narazi osoby, których dane dotyczą, na ryzyko, z którego nie są świadome. Kryminalizuje to organizacje ofiar, potencjalnie narażając je na dalsze grzywny oprócz zapłaty, wszelkie grzywny lub sankcje ze strony organów regulacyjnych, a także koszty dochodzenia, odzyskiwania środków, opłaty prawne itp. Ale co najważniejsze dla mnie, jako osoby reagującej na incydent, jest to usuwa cenne narzędzie z naszego arsenału. Jeśli ugrupowania zagrażające wiedzą, że organizacje nie mogą zapłacić okupu, nie mają motywacji do negocjacji. Negocjacje to nie tylko ustalenie ceny. Rzeczywiście negocjacje nie muszą prowadzić do zapłaty. Można go wykorzystać jako mechanizm pozwalający uzyskać informacje na temat podmiotu zagrażającego, ataku, czasu trwania, dostępu do danych, oraz jako mechanizm opóźniający aby zyskać dla organizacji czas na zbadanie, wyeliminowanie, naprawę i regenerację.
Niezależnie od tego, czy są skuteczne, czy nie, ogólnym celem sugestii dotyczących uznania płacenia okupu za nielegalne jest zmniejszenie liczby i skutków cyberataków. Ale istnieje cała branża bezpieczeństwa cybernetycznego, która próbuje osiągnąć ten sam cel. Sugestia to tylko jedna, nietechniczna i niezwiązana z bezpieczeństwem dźwignia, która pozwala skupić się na problemie na zbyt późnym etapie gry. Nikt nie myśli, że zapłaci okup, ponieważ nie postrzega tego jako czegoś, z czym będzie musiał się uporać, więc nie obchodzi ich, czy jest to nielegalne, czy nie. Środki karne uderzają w spółki jedynie w wynik finansowy, czyli w tym przypadku kadra kierownicza widzi koszt cyberbezpieczeństwa, a nie wpływ na osoby, których to dotyczy.
Niektórzy komentowali, że edukacja i szkolenia wyraźnie nie docierają do użytkowników, a rozwiązania w zakresie bezpieczeństwa są niewystarczające. Jednak oba te elementy są w rzeczywistości częścią kultury firmy. Jeżeli te rozwiązania zawodzą, jest to spowodowane błędami w kulturze firmy. A kultura zaczyna się od góry.
Jak poprawić kulturę firmy
Jakie zatem jest rozwiązanie? Cóż, nie ma jednej rzeczy, która mogłaby to wszystko naprawić, ale oto trzy punkty, które moim zdaniem mogą popchnąć igłę w pozytywnym kierunku:
Zmień kulturę firmy, oddalając bezpieczeństwo cybernetyczne od figury w arkuszu kalkulacyjnym: Uczyń i trzymaj zarządy i dyrektorów wyższego szczebla odpowiedzialnymi za zapewnienie bezpieczeństwa danych poprzez kary osobiste, blokowanie premii, uniemożliwianie im utrzymywania odpowiedniego poziomu urzędnika na pewien czas, a nawet pozbawienia wolności. Co więcej, powinno to obejmować okres wycofania, czyli okres, podczas którego, jeśli incydent cybernetyczny wpłynie na organizację, w której zajmowano dane stanowisko, odczuje wpływ incydentu cybernetycznego, może zostać ukarany grzywną lub pociągnięty do odpowiedzialności. Sprawienie, że dyrektor osobiście zainwestował w bezpieczeństwo danych przechowywanych w organizacji, zmieni kulturę wewnątrz organizacji.
Odejdź od jałowego nawiązywania kontaktu z ugrupowaniami zagrażającymi. Możesz rozmawiać nie tylko z ludźmi, których lubisz i którzy się z tobą zgadzają. Jeśli to zrobisz, zamkniesz się z bardzo spolaryzowanym poglądem i będziesz mniej poinformowany i wykształcony, niż mógłbyś być w innym przypadku. Nie jest to dobra pozycja w czasie kryzysu. W swojej książce Nigdy nie dziel różnicy, Chris Voss – były główny międzynarodowy negocjator FBI w sprawie zakładników (stanowisko, które naprawdę pokazuje, że Stany Zjednoczone negocjują z terrorystami) przytacza liczne przypadki, w których negocjacje doprowadziły do wyników korzystnych dla strony, której przeciwnik najwyraźniej miał wszystkie karty; gdzie negocjacje doprowadziły do gromadzenia danych wywiadowczych i szerszego rozbicia przestępczości zorganizowanej; gdzie samo bycie usłyszanym, a raczej wysłuchanym, doprowadziło do tego, że biorący zakładników porzucili swoje początkowe cele.
Celuj w ślad pieniędzy
Wreszcie, jeśli naprawdę chcesz obrać za cel systemy finansowe podmiotów zagrażających, utrudnij podmiotom zagrażającym wykorzystywanie/wydawanie zasobów kryptograficznych, które otrzymują. Blockchain to otwarta księga, w której można śledzić transakcje i przypisywać portfele do grup zagrożeń. Koncepcja dowody wiedzy zerowej (ZKP) można by wykorzystać w systemie do śledzenia i oceniania wiarygodności transakcji kryptowalutowych. Organy ścigania lub firmy zajmujące się cyberbezpieczeństwem mogą prowadzić bazę danych znanych złych portfeli powiązanych z cyberprzestępczością i oprogramowaniem ransomware. Każdą transakcję można ocenić na podstawie tego, czy dotyczy ona tych złych portfeli. Na przykład transakcja obejmująca tylko znane dobre portfele otrzymuje wysoki wynik, podczas gdy transakcja obejmująca znany zły portfel otrzymuje niski wynik. Z biegiem czasu nowym lub innym portfelom można przypisać ocenę wiarygodności na podstawie wyników ich transakcji.
Zamiast publicznie ujawniać, które portfele są złe, organizacje te mogłyby wykorzystać ZKP, aby udowodnić, że wiedzą, że portfel jest zły, nie ujawniając, co, dlaczego i skąd wiedzą. Zachowuje to poziom prywatności właścicieli portfeli, a także inteligencję organizacji, jednocześnie umożliwiając punktację transakcji. Takie podejście, choć stanowi zamkniętą księgę, utrudnia także podmiotom zagrażającym próby manipulowania księgą lub punktacją.
System ten mógłby pomóc zniechęcić do transakcji przy użyciu znanych złych portfeli i zachęcić do transakcji przy użyciu znanych dobrych portfeli. Takie rozwiązanie wymagałoby starannego zaprojektowania i nadzoru, aby nie doszło do niewłaściwego użycia lub manipulacji, a także do zapewnienia poszanowania praw do prywatności, ale może również pomóc w przyjęciu zdecentralizowanych kryptowalut do legalnych celów.
Mark Cunningham-Dickie jest głównym konsultantem ds. reagowania na incydenty w firmie Kworum Cyber. Ma ponad 20-letnie doświadczenie w branży technologicznej, w tym ponad 10 lat pracy na stanowiskach technicznych w organach ścigania i innych organizacjach finansowanych przez rząd. Mark posiada tytuł magistra w dziedzinie zaawansowanego bezpieczeństwa i kryminalistyki cyfrowej oraz tytuł licencjata (z wyróżnieniem) w dziedzinie informatyki.