英国正在推进禁止其公共部门和关键国家基础设施运营商支付勒索软件赎金的计划。
周二(7月22日)发布的提案是公众咨询的结果,呼吁禁止勒索软件支付,涵盖所有公共部门机构和关键国家基础设施,如能源、卫生服务和地方议会——扩大了现有的政府部门禁令。
提案的其他部分包括一个预防机制,要求不受禁令覆盖的受害者和企业在打算支付赎金时报告。
还提出了一个强制性基于门槛的报告系统,要求受害者在攻击发生后72小时内向政府提交一份包含关键细节的报告,并在28天内进行更深入的分析。
英国安全部长Dan Jarvis表示,内政部“决心打击网络犯罪商业模式,保护我们所有人依赖的服务”,并“与行业合作推进这些措施”。
勒索软件是一种恶意软件,它加密计算机或网络以阻止访问,直到支付一笔款项,通常以加密货币形式请求。
去年勒索软件攻击有所减少,Chainalysis在2月份报告称勒索软件攻击减少了35%,与2023年相比。
6月,CertiK表示今年加密货币损失的主要原因是钱包被盗和网络钓鱼攻击。
大多数人同意禁令,但对处罚意见不一
英国内政部从1月14日至4月8日就提案进行了咨询,收到了273份回复,其中57%为组织,39%为个人,4%为其他类别。
近四分之三的人同意有针对性的勒索软件支付禁令是合理的,而略多于五分之一的人不同意。对于预防机制的看法也存在分歧,近一半的人支持全经济范围内的勒索软件支付禁令。
第三个基于门槛的报告系统提案得到了63%的受访者支持,而不到一半——41%——同意继续现行的自愿报告系统。
一个争议点是对违反措施的受害者可能的处罚。受访者同意在所有提案中使用处罚;然而,对将受害者刑事化以及刑事或民事处罚是否合适表示担忧。
内政部表示,由于对处罚的反馈意见不一,将“继续探索最合适和最适度的处罚”。
英国将勒索软件列为直接威胁
英国2024年国家网络安全中心年度审查于12月发布,发现勒索软件攻击“继续对国家构成最直接和破坏性的威胁”。
根据审查,2024年6月对病理实验室Synnovis的勒索软件攻击导致择期手术和门诊预约延误。2023年10月28日的另一场攻击则破坏了大英图书馆的在线系统。
大英图书馆首席执行官Rebecca Lawrence周二(7月22日)在一份声明中表示,图书馆“拥有世界上最重要的人类知识收藏之一”,而攻击“摧毁了我们的技术基础设施,并继续影响我们的用户”。
美国削减网络攻击披露规则资金,澳大利亚强制报告
周一(7月21日),美国众议院共和党人寻求削减证券交易委员会2026年预算7%,并包括一项阻止为执行要求上市公司在四天内披露网络事件的规则提供资金的条款。
11月,澳大利亚颁布了法律,该法律于5月生效,要求年营业额超过300万澳元(190万美元)的企业和负责关键基础设施的实体报告勒索软件要求。
该国此前曾考虑是否应禁止勒索软件支付,在消费者贷款机构Latitude Financial遭受网络攻击后,但当时被否决。