Birleşik Krallık hükümeti, siber dolandırıcılar tarafından zorlanan herhangi bir özel sektör kuruluşunun fidye ödemek isteyip istemediğini bilmek istiyor, böylece yetkililer siber suçluları besleyen iş modelini sökmeye yardımcı olmak için uygun destek ve rehberlik sağlayabilir. Kamu sektörü için? Tam bir yasak olabilir.
Küresel fidye yazılımı tehdidine karşı iddialı bir hareketle, Birleşik Krallık hükümeti siber cezai operasyonları önemli ölçüde bozmayı amaçlayan kapsamlı bir strateji ortaya koydu. Kapsamlı kamuoyu konsültasyonu üzerine inşa edilen yeni yasama teklifleri, suçlulara yapılan ödemeleri azaltmaya ve olay raporlamasını büyük ölçüde artırmaya çalışmakta ve İngiltere’yi bu yaygın siber suç biçimine karşı uluslararası mücadelenin ön saflarında konumlandırıyor.
“Tüm ciddi ve organize siber suç tehditlerinin en büyüğü” olarak tanımlanan fidye yazılımı, “İngiltere’nin ulusal güvenliği için bir risk oluşturmaktadır. Finansal kayıplar, fikri mülkiyet hırsızlığı, hizmet kesintisi ve bu saldırılardan kaynaklanan itibar hasarı, güçlü karşı önlemlere acil bir ihtiyacı yansıtmaktadır.
İngiltere’nin üç yönlü yasama saldırısı
14 Ocak-8 Nisan 2025-8 Nisan 2025) sonra geliştirilen İçişleri Bakanlığı’nın önerileri, fidye yazılımlarına karşı koymak için İngiltere hukukunda ilk özel önlemleri temsil etmektedir. Ulusal Siber Güvenlik Merkezi (NCSC) gibi ajansların mevcut esneklik çabalarını tamamlayan “hedefli ve orantılı bir yanıt” olarak tasarlanmıştır.
Üç temel teklif:
Kritik varlıklar için fidye yazılımı ödemelerine hedeflenen bir yasak
Bu önlem, düzenlenmiş kritik ulusal altyapı (CNI) ve yerel yönetim dahil tüm kamu sektörü organlarının sahipleri ve operatörleri için fidye yazılımı ödemelerini yasaklamayı önermektedir. Amaç, saldırganlar için finansal teşvikleri kaldırmak, gelir akışlarını azaltmak ve İngiltere kuruluşlarını finansal olarak çekici olmayan hedefler yapmaktır.
İstişare geri bildirimleri, katılımcıların yaklaşık dörtte üçü (%72) böyle bir yasağın uygulanmasını kabul ederek güçlü bir destek ortaya koymuştur. Özellikle, CNI ve kamu sektörü katılımcıları daha da yüksek anlaşma göstermiştir (%82). Hükümet, potansiyel dünya dışı etkiler de dahil olmak üzere bu yasağın kapsamını ve uygulanmasını tanımlamaya kararlıdır.
Yeni Bir Fidye Yazılımı Ödeme Önleme rejimi
Bu teklif, İngiltere’den gelen tüm potansiyel fidye yazılımı ödemelerini kapsamayı amaçlamaktadır. Bu rejimle ilgili danışma geri bildirimi karışık olsa da, “hedeflenen yasağın kapsadığı tüm kuruluşlar ve bireyler için ekonomi çapında bir ödeme önleme rejimi” en fazla desteği (%47) topladı. Bu yaklaşım, suçlulara genel para akışını azaltmayı amaçlamaktadır.
Saldırıları yanlışlıkla kaplamamış varlıklara kaydıran potansiyel eşiklerle ilgili endişeler ortaya çıktı. Hükümet bu karmaşıklıkları kabul ediyor ve özellikle finansal kurumlarla ilgili teklifler arasında sorumluluğu araştırmaktadır.
Zorunlu bir olay raporlama rejimi
Bu önlem, şüpheli fidye yazılım kurbanlarının olayları hükümete bildirmeleri için zorunlu bir gereklilik getirecektir. Bir saldırıdan sonraki 72 saat içinde bir ilk rapor gerekecek ve ardından 28 gün içinde daha derinlemesine bir rapor yapılacaktır. Amaç, hükümetin fidye yazılımı tehdidinin ölçeği, türü ve kaynağı hakkındaki anlayışını geliştirmek, istihbarat toplama, esneklik binası ve hedeflenen kesintiler yardımcı olmaktır.
“Tüm kuruluşlar ve bireyler için ekonomi çapında zorunlu raporlama gereksinimi” mevcut gönüllü sisteme kıyasla en yüksek desteği (%63) aldı. Katılımcıların dörtte üçü 72 saatlik ilk raporlama zaman dilimini makul olarak gördü.
Geçen yılın sonlarında, Avustralya, uzmanların belirli bölümleri arasında bir tutam anlaşmazlık ile yaygın olarak beklenen benzer bir 72 saatlik raporlama görevini yerine getirdi.
Danışma vurguları ve gelecekteki görünüm
İstişare süreci, büyük ölçüde olumlu ve yapıcı olan 273 yanıtla önemli bir katılım gördü. Açık rehberlik ihtiyacı, orantılı cezalar (mağdurları yeniden kurban etme endişeleri ile) ve saldırılardan etkilenen kuruluşlar için sağlam destek de dahil olmak üzere önemli kesişen temalar ortaya çıktı. Katılımcılar ayrıca, BT sistemlerinin güncellenmesi ve olay müdahale mekanizmalarının güçlendirilmesi de dahil olmak üzere genel siber farkındalığı ve esnekliği artırmanın önemini vurguladılar.
İngiltere hükümeti bu teklifleri siber tehditlerle mücadelede daha geniş, bütünsel bir yaklaşımın bir parçası olarak görüyor. Endüstri ile işbirliği yapmaya devam etmeyi planlıyor ve kapsamı, cezaları ve destek mekanizmalarını netleştirmek için herhangi bir yeni mevzuatın yanı sıra ek rehberlik yayınlayacak. Bu kapsamlı ve işbirlikçi strateji, İngiltere’nin liderliğini sürekli gelişen bir dijital tehdit ortamında sağlamlaştırmayı amaçlamaktadır.