Büntetni kellene a zsarolóvírusok miatt fizetőket?

A zsarolóvírusokkal foglalkozó bandák tavaly legalább 2270 kórház, iskola és kormányzati szervezet informatikai hálózatát törték fel "több ezer" magánszektorbeli vállalkozás mellett, közölte az Emsisoft víruskereső szoftvereket forgalmazó cég. Ezek a támadások átlagosan mintegy 1,5 millió dollárba kerültek a célpontoknak. "2023-ban a világot pénzügyileg motivált zsarolóvírus-támadások áradata sújtotta, amelyek megtagadták az emberektől a hozzáférést kritikus szolgáltatásokhoz, veszélyeztették személyes adataikat, és valószínűleg néhányuk halálát is okozta" - jegyezte meg a biztonsági cég, amelynek saját összesítése szerint 46 kórházi rendszert, 108 iskolai körzetet, 72 főiskolát és egyetemet, valamint 95 kormányzati szervet érintett támadás. Összehasonlításképpen: 2022-ben 25 támadás érte a kórházakat, 45 az iskolákat, 44 a felsőoktatást, 106 pedig a kormányzati szervezeteket.

A magánszektor sem maradt ki, tavaly zsarolók áldozatául esett mások mellett a Boeing, az MGM Resorts, a Caesars Entertainment és a Dish Network. Mivel az Egyesült Államokban a tőzsdén jegyzett vállalatok számára kötelezővé vált a zsarolóvírus-támadások közzététele az amerikai Értékpapír- és Tőzsdefelügyelet tavaly év végén életbe lépett szabályai miatt, a bejelentett fertőzések száma 2024-ben biztosan növekedni fog. Az Emsisoft 2023-as számai nem tartalmazzák a MOVEit-támadásokat, amelyek során a Clop nevű zsarolóvírus-banda egy nulladik napi sebezhetőséget kihasználva több mint 2600 köz- és magánszektorbeli áldozattól lopott el rengeteg adatot a fájlmozgató szoftveren keresztül. Ennek oka, hogy nem titkosították az adatokat, és nem minden szervezet kapott váltságdíjkövetelést. Mégis, ez a biztonsági rés több mint 15 milliárd dollárba került.

Az Emsisoft szerint az egyetlen megoldás erre a problémára a váltságdíjak fizetésének teljes betiltása. "A zsarolóprogramok becslések szerint 2016 és 2021 között havonta körülbelül egy amerikai halálát okozták, és valószínűleg ez a tendencia folytatódik" - jegyzi meg a jelentés a Minnesotai Egyetem Közegészségügyi Iskolájának statisztikáit idézve. "Minél tovább marad a zsarolóvírus probléma megoldatlan, annál több embert fog megölni" - teszik hozzá a szerzők. "És természetesen a gazdasági károk és a mérhetetlen társadalmi kár, amelyet a zsarolóvírusok okoznak, szintén folytatódni fognak mindaddig, amíg a probléma megoldatlan marad." Brett Callow, az Emsisoft fenyegetéselemzője szerint a váltságdíjfizetés teljes betiltása elleni ellenállás csökken. "Azt hiszem, egyre többen kezdik elfogadni, hogy a tiltás, bár problémás, de végső soron az egyetlen megoldás a problémára" - mondta.

Tavaly ősszel egy nemzetközi zsarolóvírus elleni kezdeményezés során 50 ország írt alá egy olyan nyilatkozatot, amelyben vállalták, hogy nem fizetnek váltságdíjat a kiberbűnözőknek. (Szomszédaink - Horvátország, Csehország, Ausztria, Románia stb. - a listán vannak, Magyarország nem szerepel.) Ez a megállapodás azonban csak "a kormányzati fennhatóság alá tartozó intézményekre" vonatkozik, így a fenti jelentésben szereplő legtöbb áldozat, valamint az összes magánszektorbeli vállalat továbbra is szabadon fizethet. "A szándék megalapozott, szerintem végül eljuthatunk a tiltásig, de jelen pillanatban ez nem egy csodafegyver, és több kárt fog okozni, mint hasznot" - érvelt Megan Stifel, az Institute for Security and Technology stratégiai vezetője. Így például a Biden-kormányzat döntése, miszerint a váltságdíjfizetést február 1-jétől illegálissá teszi "problémás lehet, tekintettel a gazdaság általános rugalmasságának és érettségének hiányára, különösen, ha a jelentésben megjelölt puha célpontokra gondolunk" - mondta Stifel.

A tilalom szerinte "fontos része a megoldásnak a zsarolóvírusok csökkentésére és remélhetőleg felszámolására, de ezt számos más, a kormányzat rendelkezésére álló eszközzel kell párosítani" - tette hozzá. Bár az amerikai kormány azt tanácsolja mindenkinek, hogy ne fizessenek váltságdíjat - a hivatalos útmutató szerint "a váltságdíj kifizetése nem biztosítja, hogy az adatokat visszafejtik, hogy a rendszereket vagy az adatokat többé nem veszélyeztetik, vagy hogy az adatok nem szivárognak ki" -, Stifel szerint többet tehet és többet is kellene tennie az ellenálló képesség támogatása érdekében. Ez magában foglalja olyan változtatások bevezetését, amelyek visszatartják a gyártókat hibás szoftverek kiadásától, és támogatásokat nyújtanak a helyi önkormányzatoknak és iskoláknak a biztonságuk növeléséhez.

A legtöbb biztosítási szolgáltató már megköveteli, hogy a biztosítottak megfeleljenek bizonyos alapvető informatikai biztonsági előírásoknak, hogy jogosultak legyenek a biztosítási fedezetre. Stifel és a munkacsoport szerint a kormányoknak is hasonló intézkedéseket kellene hoznia. "Megkövetelhetjük a szervezetektől, hogy bizonyítsák a kellő gondosság bizonyos fokát, mielőtt kifizetést teljesítenének" - jegyezte meg. "Valóban megnézték, hogy a biztonsági mentéseik életképesek-e? Megnézték, hogy rendelkezésre áll-e visszafejtő kulcs? Ezenkívül egy teljes körű, erőteljes tudatosságnövelő kampányra van szükség a zsarolóvírusok megelőzéséről, az azokra való reagálásról és a zsarolóvírusok által okozott társadalmi károkról. És ezt még nem igazán próbáltuk meg."

Jeremy Kennelly, a Mandiant vezető elemzője, a Google tulajdonában lévő fenyegetéselemző cég pénzügyi bűnözést elemző részlegének vezető elemzője úgy véli, hogy a kifizetések betiltása nem olyan egyszerű, mint amilyennek hangzik. Bár egy "globális és általánosan érvényesített" váltságdíjfizetési tilalom az ilyen típusú zsarolótámadások csökkenéséhez vezethetne, egy ilyen típusú megoldást szinte lehetetlen lenne betartatni - érvelt. "A váltságdíj-kifizetésekkel kapcsolatos egységes nemzetközi szabványok életképességével és érvényesítésével kapcsolatos kérdéseken túlmenően a másik kihívás az az egyszerű tény, hogy a váltságdíj csak egy eszköz, amelyet a zsarolói kifizetések beszedésére használnak. Az ökoszisztémában továbbra is diverzifikálódást tapasztalunk, a bűnözők néha csak adatokat lopnak el, mielőtt fizetést követelnének" - mondta Kennelly. "A zsarolóprogramok bevetése nélküli zsarolási esetek nem feltétlenül okoznak ugyanolyan típusú azonnali fennakadást" - tette hozzá. "Ebben az új világban azonban az adattitkosítás egyszerűen a fizetés elmaradásának következményévé válhat, nem pedig a problémává, amelynek orvoslásához a szervezet fizet."