【點揀都死】美國擬立公開勒索襲擊法例 交贖金企業48小時內須公開詳情
早前有勒索軟件集團恐嚇受害者,如果報警求助便會立即公開手上的機密資料。不過,美國現正計劃通過一條公開勒索襲擊法例,如受害企業決定交付續金,便必須在 48 小時內向國土安全部 (DHS) 交代相關細節,以便執法機關緝兇及提升安全性。企業不想陷入兩難,還是應盡早提升網絡防禦力!
勒索軟件在過去兩年瘋狂襲擊美國企業,影響較大的受害者包括美國燃油供應商 Colonial Pipeline、食物供應商 JBS、IT 管理服務供應商 Kaseya,一度令美國拜登政府非常震怒,雖然最終追回大部分贖金及給予勒索軟件集團如 REvil、Darkside 迎頭痛擊,但在多項事件中可見,受害企業都傾向交贖金,換取解密金鑰令業務可以快速重新運作。
雖然 DHS 及 FBI 已多次呼籲受害企業不應交贖金,因為不單會成為勒索軟件集團的營運資金,資助他們提升入侵技術,更會令他們更加猖獗,更加積極攻擊不同企業。不過,美國政府總不能 blame the victims,高調懲罰這些受害者。為了阻止企業交付贖金,華府便選擇走另一條路,立法限制企業暗中俾錢。
美國參議員 Elizabeth Warren 及眾議員 Deborah Ross 便提交一項 Ransom Disclosure Act 法案,內容是要求選擇交贖金的企業,必須在交贖金後 48 小時內向國土安全部提交所有細節,包括贖金金額、使用的貨幣及所有關於入侵者的資料。二人聲稱立法目的在於讓執法機關盡快掌握勒索軟件集團入侵的手段,讓美國其他企業可以在受襲前堵塞相關漏洞。不過實際上,這條法案明顯增加受害企業的難處,因為其中一個交贖金的原因,是希望阻止數據外洩事故曝光,減少對企業造成的負面影響。如果在交贖金之餘又要公開已被襲擊,相信部分企業便未必會付款。
雖然現時法案仍在草議階段,但勒索軟件集團亦有可能會否爭取時間,加大力度攻擊。企業為求自保,還是應該盡早提升網絡防禦力,以免未來陷入兩難局面。