W 2015 roku ja i mój zespół przemawialiśmy przed wystąpieniami rządowymi Bezpieczeństwo i policja wydarzenie w Farnborough. Odbyliśmy ciekawą rozmowę z gościem z Home Office na temat utrzymującej się legalności płacenia oprogramowanie ransomware kar finansowych i że w tamtym czasie rząd nie otrzymywał żadnych wskazówek lub miał znikome wytyczne.
Stanowiło to jasną sprzeczność z wytycznymi dotyczącymi płacenia okupu fizycznego, które wówczas i nadal stanowią, że płatność jest nielegalna.
Wydawało nam się to nielogiczne, ponieważ spędzamy czas na rozmowach o wzajemnych powiązaniach wszystkiego (dziękuję Douglasowi Adamsowi i Dirkowi Gently’emu) oraz wpływ wszelkiego rodzaju złośliwego oprogramowania na ekosystemy biznesowe, społeczeństwo i dobre samopoczucie ludzi. Jak zatem może być nielegalne płacenie okupu lub ubezpieczanie się na wypadek okupu?
Rząd był wówczas zajęty usuwaniem luk w ubezpieczeniach dotyczących okupu ludzkiego, ale tak się nie stało całkowicie legalne jest płacenie cyberokupu, aby skutecznie finansować przestępców zajmujących się wyciąganiem pieniędzy od legalnych przedsiębiorstw, organów publicznych, a nawet organizacji charytatywnych w najbardziej cyniczny sposób, którzy wykorzystują te pieniądze do tworzenia jeszcze skuteczniejszego oprogramowania ransomware w celu jeszcze skuteczniejszego atakowania wszystkich. I tak cykl trwa.
Jeśli nie jesteś pewien co do tego stwierdzenia, spójrz na wzrost średniej ceny okupu w ciągu ostatnich 10 lat, a zobaczysz, że ci przestępcy skrupulatnie opracowali swoje plany biznesowe i są w stanie obrać za cel duże skupiska obywatelskie, wywieranie wpływu na usługi publiczne i duże przedsiębiorstwa w celu wyciągnięcia znacznie wyższych okupów niż skromne początki prób wyłudzeń od osób fizycznych. Gangi żądające okupu udoskonaliły swoje oprogramowanie, sposób dostarczania i cele, aby uzyskać maksymalną wypłatę.
Co ciekawe, główny wektor ataku pozostaje wyłudzanie informacji. Przeszliśmy długą drogę od wirusa ILOVEYOU która obiecała miłość i uwagę 24 lata temu, ale z innego powodu tego nie zrobiliśmy. Jesteśmy podatni na większość oprogramowania ransomware ze względu na tę metodę dostarczania, która od tak długiego czasu jest tak skuteczna. Z pewnością taki poziom nieostrożności nie byłby tolerowany w przypadku okupu fizycznego? Czy można pozwolić na dalsze utrzymywanie się braku przeszkolenia lub świadomości? Okup postrzegany jedynie jako koszt prowadzenia biznesu?
Oczywiście, że nie, ale mówimy o rodzaju przestępstwa, z którym jako społeczeństwo borykamy się już od jakiegoś czasu. I przestępstwo, które w jakiś sposób zostało uznane za częściowo uzasadnione i stanowiące istotny koszt prowadzenia działalności gospodarczej. Być może jest to częściowo spowodowane używanym językiem. Może nadszedł czas, aby zmienić tę sytuację i przestać nazywać to oprogramowaniem ransomware i zacząć nazywać to szantażem i wymuszeniami, bo tak naprawdę to jest.
Musimy nie tylko pomyśleć o legalności płacenia cyfrowych okupów, ale także o tym, jak stanowić prawo i karać tych, którzy to robią. Gangi zarabiają tak ogromne sumy pieniędzy, że moim zdaniem wkraczamy w okres wielkiego ryzyka, ponieważ złoczyńcy są obecnie często znacznie lepiej finansowani niż dobrzy. To, jak prawidłowo kursujemy, wymaga teraz wizji, zaangażowania i wiedzy.