评论
打印
美国官员商讨是否为勒索软件交赎金?
美国商界领袖正在寻求有关如何应对勒索软件的建议,勒索软件是一种用来侵占计算机系统直到用户缴纳赎金的软件。
问题在于是否应该为勒索软件的攻击付赎金。但是美国政府尚未就这一问题出台明确规定或政策。
如何回应?
埃里克·戈德斯坦(Eric Goldstein)是美国国土安全部的高级网络安全官员。戈德斯坦上周在国会听证会上表示:“美国政府的立场是,我们强烈反对支付赎金。”“Discourage”指设法让人不想做某事。
戈德斯坦对议员表示,支付赎金无法保证拿回数据或确保被盗文件的安全。他还表示,即使犯罪分子信守承诺,这笔钱也将被用于下一轮的攻击。
但是现有法律并不会对支付勒索软件赎金的企业实施惩罚。然而,拒绝支付赎金对企业不利,尤其是对中小企业而言。对美国自身而言,不付赎金也可能会面临严重影响。
近来著名的勒索软件攻击导致美国东部地区出现石油短缺和高油价,以及威胁到美国的肉类供应。这个问题迫使政府官员一直在寻求解决方案。
美国国会现在正在考虑立法,要求立即向联邦官员报告勒索软件攻击。他们的初衷是报告将有助于确定责任人,甚至有助于追回部分赎金。
最近,美国执法官员追回了科洛尼尔管道公司支付给一家名为DarkSide的黑客犯罪团伙的440万美元中的大部分资金。这是美国政府首次声称从这个俄罗斯团伙手中追回资金。
上周,美国总统拜登在日内瓦会见了俄罗斯总统普京,讨论了包括网络安全在内的几大问题。拜登称,他给普京提供了一份名单,其中有16个包括能源和供水系统在内的关键基础设施项目,这些项目被视为犯罪活动禁区。
然而专家表示,如果不立即采取其他行动,勒索软件攻击将会继续增加。
网络安全专家
美国能源部长詹妮弗·格兰霍姆(Jennifer Granholm)本月表示,她支持禁止支付赎金。但是她不知道国会和总统的想法是否一致。
一些坚定地支持赎金禁令的人士是最了解勒索软件犯罪分子的网络安全专家。
Lior Div 是总部位于波士顿的Cybereason公司的负责人。他将勒索软件犯罪分子比作数字时代的恐怖分子。他说:“这是一种另类的、非常现代的恐怖主义。”
一项2015年出台的英国法律禁止总部位于英国的保险公司为支付恐怖主义赎金的公司进行理赔。有人认为这一法律应该也适用于勒索软件赎金。
埃德里安·尼斯(Adrian Nish)是BAE Systems公司的威胁情报主管。尼斯指出,“恐怖分子不再绑架人质,因为他们意识到此举拿不到赎金。”
美国法律禁止向恐怖分子提供物质支持,但是美国司法部在2015年撤回了对支付恐怖主义赎金的公民提起刑事诉讼的威胁。
勇敢拒绝
一些勒索软件受害人拒绝支付高额赎金。
其中一位受害者是佛蒙特大学健康网络,在10月份遭受攻击后,恢复服务和丢失服务的总损失约为6300万美元。
爱尔兰国家医疗保健服务在上个月受到攻击后也拒绝进行谈判。5周后,这个拥有500万人口的国家的医疗保健信息技术仍然严重受损。
大多数勒索软件受害者最终会支付赎金。Hiscox保险公司表示,超过58%的受影响客户支付了赎金。领先的网络保险公司Marsh McLennan表示,其受影响的美国和加拿大客户中约有60%付了赎金。
但是支付赎金并不能保证服务能完全恢复。网络安全公司 Sophos 对来自30个国家的5400名技术决策者进行了研究,他们发现,支付赎金者平均只拿回了 65% 的加密数据。
网络安全公司 Cybereason 在一项针对近1300名安全专家的另一项研究中发现,有五分之四选择支付赎金的企业遭受了第二次勒索软件攻击。
约翰·罗塞尔为您播报。
译文为可可英语翻译,未经授权请勿转载!
