U pokušaju da uništi ransomware, Australija razmišlja da postane prva zemlja koja će zabraniti isplate otkupnine tako što će ih učiniti ilegalnim. Ovo bi moglo zvučati kao odlična inicijativa, ali nije nužno srebrni metak. U opasnosti smo od kriminalizacije žrtava zločina. Ransomware je sve učestaliji i sve veći, što predstavlja veliki rizik za kompanije i pretnju nacionalnoj državi. Vlade moraju priznati da će nove politike kreirane u silosu biti neefikasne u evoluirajućem i složenom pejzažu. Zabrana je jednostavna politika, ali nažalost, ovo nije jednostavan problem.
Otkupnine mogu pružiti poslovnim liderima, obično kao krajnje sredstvo, način da ublaže pritisak na svoje organizacije kada sve druge kontrole ne uspiju. Iako je kontroverzno, nezakonita isplata znači da organizacije žrtava mogu ostati bez izlaza kada se desi najgore. Moramo razlikovati kompanije koje su investirale i ponašale se odgovorno u izgradnji zaštite kibernetičke bezbjednosti, ali su ipak postale žrtva kao i one koje nisu dale prioritet kibernetičkoj otpornosti.
Kada grade strategije kibernetičke otpornosti, donosioci odluka moraju implementirati i reaktivne mjere i protokole upravljanja rizikom kako bi minimizovali uticaj kibernetičkog incidenta. Pravilno planiranje kibernetičke otpornosti uključuje odgovore na sve moguće situacije, a plaćanja ransomware-a ovdje igraju nepoželjnu, ali krajnje ključnu ulogu. Mogu spriječiti daljnju štetu organizaciji, njenom lancu nabavke ili njenim zaposlenima i klijentima kada su iscrpljene sve druge opcije.
Slika je dodatno komplikovana za kreatore politike rastućim trendom ransomware-a bez enkripcije, koji je smanjio tehničku barijeru za ulazak potencijalnih hakera i proširio krug aktivnih kibernetičkih kriminalaca. Već vidimo potencijalno veoma štetna objavljivanja privatnih podataka koja se koriste kao poluga protiv žrtava. S obzirom na jasne mogućnosti za hakere da isključe sisteme ili ometaju operacije na druge načine, možemo samo zamisliti šta bi se moglo dogoditi kada žrtve protestuju zbog toga što im je zabranjeno plaćanje ransomware-a.
Planovi za zabranu plaćanja ransomware-a na nacionalnom ili multinacionalnom nivou takođe sadrže jednu fatalnu manu, uvijek će postojati tržišta koja će izbjeći igranje po pravilima ili žele da ih oblikuju za svoje ciljeve. To je, nažalost, priroda međunarodne diplomatije i pregovora. Potrebno je samo da pogledate trenutnu diskusiju Ujedinjenih naroda o globalnom sporazumu o kibernetičkoj bezbjednosti da vidite koliko složeni ovi razgovori mogu postati.
U praksi, to bi vjerovatno značilo da će organizacija pogođena napadom ransomware-a u jurisdikciji gdje su plaćanja zabranjena pronaći druge kanale za to, kao što je preko treće strane u jurisdikciji bez takve zabrane. Ovo bi bilo veliko pitanje. Organizacije bi bile destimulisane od prijavljivanja isplata jer bi bile nezakonite, a ne bi bilo nadzora nad iznosima koji se mijenjaju ili uključenih strana.
Drugi problem sa guranjem plaćanja u sjenu bilo bi osiguranje. Kao visoko regulisana industrija, osiguravatelji se moraju pridržavati najviših standarda. Kršenje zakona nije dio tog standarda. Treba nam veće tržište kibernetičkog osiguranja, a ne manje. Da li je realno očekivati da bi osiguravači htjeli da preuzmu rizik plaćanja preko manje regulisanih trećih lica?
Ako se ova plaćanja otkriju, zar ne bi bili zabrinuti zbog sankcija s kojima se mogu suočiti na svojim primarnim tržištima? Ako bismo zaključili da bi zbog toga bilo nelagode, takođe možemo pretpostaviti da osiguravači jednostavno ne bi ponudili organizacijama pokriće koje im je potrebno. Bez tog pokrića, žrtve neće imati neposredan pristup novcu potrebnom za plaćanje otkupnine, što će vjerovatno dovesti do veće i duže štete njima i onima koji se na njih oslanjaju.
Nažalost, još uvijek postoji veliki postotak organizacija koje su loše pripremljene da upravljaju i obuzdaju napade ransomware-a. Oni ne uspijevaju da daju prioritet izgradnji kibernetičkoj otpornosti i na kraju plaćaju mnogo više kako bi spriječili potpunu krizu nakon što je jednom kompromitovana. Kako bi izbjegli podleganje kibernetičkim kriminalcima, poslovni lideri moraju se uhvatiti u koštac s tehnološkim izazovom i uspostaviti odgovarajuće upravljanje i smanjenje rizika. Od ključne je važnosti identifikovati uloge i odgovornosti unutar organizacije u slučaju napada, razumjeti koji su sistemi najvredniji i osigurati da su pravilno zaštićeni, te adekvatno odigrati odgovor na kibernetički napad tako da dragocjeno vrijeme nije izgubljeno raspravljajući o najboljem načinu djelovanja kada se to dogodi.
Kao zajednica, moramo se fokusirati na ciljanje kriminalaca, a ne na kriminalizaciju žrtava. Zabrana plaćanja ransomware-a neće spriječiti organizacije da budu ciljane. Naprotiv, to će pogoršati situaciju za one koji postanu žrtve kriminalnih grupa i grupa koje podržava država, nanoseći veću štetu ljudima i drugim preduzećima koja se oslanjaju na te žrtve. Uvođenje kaznenih mjera moglo bi se svidjeti vladama jer zauzimanje oštrog stava piše dobre naslove, ali društvo će naći više vrijednosti u pozitivnom i proaktivnom pristupu.
To znači ulaganje u mjere koje će pomoći kompanijama da poboljšaju svoju kibernetičku otpornost, postavljanje jačih smjernica za druge koje treba slijediti i obavezu da izvršni direktori i viši rukovodioci imaju veću odgovornost za implementaciju kibernetičke otpornosti. I to ostavlja policiju da se koncentriše na hapšenje počinilaca iza tastatura. Ove mjere je možda teže sprovesti, ali ako želimo da se pozabavimo ovim problemom kako treba, laka opcija nas neće nikuda dovesti.
Izvor: Infosecurity Magazine