英國正在推進禁止其公共部門和關鍵國家基礎設施運營商支付勒索軟體贖金的計劃。
週二(7月22日)發布的提案是公眾諮詢的結果,呼籲禁止勒索軟體支付,涵蓋所有公共部門機構和關鍵國家基礎設施,如能源、衛生服務和地方議會——擴大了現有的政府部門禁令。
提案的其他部分包括一個預防機制,要求不受禁令覆蓋的受害者和企業在打算支付贖金時報告。
還提出了一個強制性基於門檻的報告系統,要求受害者在攻擊發生後72小時內向政府提交一份包含關鍵細節的報告,並在28天內進行更深入的分析。
英國安全部長Dan Jarvis表示,內政部“決心打擊網絡犯罪商業模式,保護我們所有人依賴的服務”,並“與行業合作推進這些措施”。
勒索軟體是一種惡意軟體,它加密計算機或網絡以阻止訪問,直到支付一筆款項,通常以加密貨幣形式請求。
去年勒索軟體攻擊有所減少,Chainalysis在2月份報告稱勒索軟體攻擊減少了35%,與2023年相比。
6月,CertiK表示今年加密貨幣損失的主要原因是錢包被盜和網絡釣魚攻擊。
大多數人同意禁令,但對處罰意見不一
英國內政部從1月14日至4月8日就提案進行了諮詢,收到了273份回覆,其中57%為組織,39%為個人,4%為其他類別。
近四分之三的人同意有針對性的勒索軟體支付禁令是合理的,而略多於五分之一的人不同意。對於預防機制的看法也存在分歧,近一半的人支持全經濟範圍內的勒索軟體支付禁令。
第三個基於門檻的報告系統提案得到了63%的受訪者支持,而不到一半——41%——同意繼續現行的自願報告系統。
一個爭議點是對違反措施的受害者可能的處罰。受訪者同意在所有提案中使用處罰;然而,對將受害者刑事化以及刑事或民事處罰是否合適表示擔憂。
內政部表示,由於對處罰的反饋意見不一,將“繼續探索最合適和最適度的處罰”。
英國將勒索軟體列為直接威脅
英國2024年國家網絡安全中心年度審查於12月發布,發現勒索軟體攻擊“繼續對國家構成最直接和破壞性的威脅”。
根據審查,2024年6月對病理實驗室Synnovis的勒索軟體攻擊導致擇期手術和門診預約延誤。2023年10月28日的另一場攻擊則破壞了大英圖書館的在線系統。
大英圖書館首席執行官Rebecca Lawrence週二(7月22日)在一份聲明中表示,圖書館“擁有世界上最重要的人類知識收藏之一”,而攻擊“摧毀了我們的技術基礎設施,並繼續影響我們的用戶”。
美國削減網絡攻擊披露規則資金,澳大利亞強制報告
週一(7月21日),美國眾議院共和黨人尋求削減證券交易委員會2026年預算7%,並包括一項阻止為執行要求上市公司在四天內披露網絡事件的規則提供資金的條款。
11月,澳大利亞頒布了法律,該法律於5月生效,要求年營業額超過300萬澳元(190萬美元)的企業和負責關鍵基礎設施的實體報告勒索軟體要求。
該國此前曾考慮是否應禁止勒索軟體支付,在消費者貸款機構Latitude Financial遭受網絡攻擊後,但當時被否決。