Güvenlik ve Teknoloji Enstitüsü’nün Fidye Yazılımı Görev Gücü, fidye yazılımı ödeme yasağı ihtiyacına soğuk su döktü. Çarşamba günü yayınlanan rapor.
Kâr amacı gütmeyen Güvenlik ve Teknoloji Enstitüsü, fidye ödeme yasağının uygulanabilirliğini aşağıdakiler de dahil olmak üzere birçok nedenden dolayı reddediyor:
- Yasağın mağdurların fidye ödemesi raporlaması üzerindeki etkisine ilişkin endişeler.
- Yeraltına daha fazla ödeme çekme potansiyeli.
- Ve kritik altyapı muafiyetlerinin istenmeyen sonuçları ve pratiklikleri.
RTF, bir yasak yerine 16 kilometre taşını ayrıntılı olarak açıkladı:ödemelerin azaltılması konusunda en makul ve etkili yaklaşımdır.”
RTF eşbaşkanları e-posta yoluyla şunları söyledi: “Yasaklama, hazırlıklılığı artırmak için tasarlanan faaliyetlerden daha kolay bir politika kaldırma yöntemi olsa da, neredeyse kesinlikle yanlış türde bir etki yaratacaktır.” “Ödeme yapan kuruluşların sayısı azalıyor, bu da doğru yolda olduğumuzu gösteriyor.”
RTF’nin tavsiyelerinin çoğu halihazırda mevcuttur, geliştirilme aşamasındadır veya en azından kısmen devam etmektedir. Tekliflerin biri hariç tümü orijinal olarak bir Grubun Eylül 2021’de yayınladığı rapor.
RTF’nin 16 teklifinin yarısından fazlası zaten tamamlandı veya üzerinde çalışılıyor
RTF eşbaşkanları e-posta yoluyla şunları söyledi: “Ne yazık ki çoğu kuruluşun siber dayanıklılık konusunda hâlâ çok az yolu var ve fidye yazılımı gibi siber saldırılara karşı ne yazık ki yeterince hazırlıklı değiller.” “Fidye ödeme yasağının uygulanması bunu değiştirmeyecek ve saldırganlar için anında bir kapatma düğmesi değil. Kuruluşların yeterli savunma veya hafifletme önlemlerinden yoksun olduğunu bilerek saldırılar başlatmaya devam edecekler.”
RTF’nin talep ettiği temel çabalardan ikisi son birkaç yılda tamamlandı veya ilerletildi. Halka açık şirketlerin artık raporlama yapması gerekiyor Maddi siber olayları bildirin ve ifşa et siber yönetişim ve risk yönetimi Menkul Kıymetler ve Borsa Komisyonu’na stratejiler.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın 2022 Kritik Altyapı için Siber Olay Raporlama Yasası için önerilen kural 316.000’den fazla ABD’li kritik altyapı sahibini, operatörünü ve tedarikçisini siber saldırıları ve fidye ödemelerini hızla açıklamaya zorlayacak. Bu kural 18 ay içinde yürürlüğe girecek.
Kuruluşların, ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi tarafından yaptırım uygulanan kişi veya kuruluşlara fidye ödemesi yapması zaten yasak.
Yasaklama önerileri politika tartışmaları karşısında bocalıyor
Fidye yazılımı faaliyetlerini azaltmayı amaçlayan tartışmalar ve politika tartışmaları, son 18 ayda, bu konuda yeterli kanıtın ortaya çıkmasıyla birlikte değişti. Fidye yazılımlarını caydırmaya yönelik mevcut çabalar işe yaramıyor.
Üst düzey bir yönetim yetkilisi Kasım ayında yaptığı açıklamada, ABD’deki fidye yazılımı kurbanlarının Mayıs 2022 ile Haziran 2023 arasında 1,5 milyar dolar fidye ödediğini söyledi. Yaklaşık 5.200 kuruluş 2023’te fidye yazılımı saldırılarına maruz kaldıRapid7’ye göre.
Biden yönetimi doğrudan yasağa karşı karar verildi Eylül 2022’de fidye ödemesi yapıldı ancak Beyaz Saray yetkilileri potansiyel politika değişikliğini yeniden canlandırdı 2023 ortalarında Uluslararası Fidye Yazılımlarına Karşı Girişimi aracılığıyla.
İleriye yönelik en iyi yol konusundaki anlaşmazlıklar devam ediyor.
Emsisoft’un tehdit analisti Brett Callow, yıla başladı Fidye ödemelerinin tamamen yasaklanması çağrısında bulunuldu tedbirin güçlü bir savunucusu olmaya devam ediyor.
RTF, fidye yazılımı saldırılarının Florida ve Kuzey Carolina gibi daha önce bu tür yasaklar getiren eyaletlerde azalmadığını ileri sürüyor ancak Callow, kapsamı sınırlı olduğu için bu iddiaya katılmıyor.
“Eyalet düzeyindeki yasaklar, saldırıların sayısını mutlaka azaltmaz. Rusya merkezli siber suçlular, bir devletin yasaklı olduğunun, hatta bir kuruluşun o eyalette olduğunun farkında olmayabilir. Ancak bu, yasakların anlamsız olduğu anlamına gelmiyor” dedi Callow e-posta yoluyla.
Callow, “Saldırganlar eyalet düzeyindeki yasakların farkında olmasalar da (ve dolayısıyla saldırıları durdurmasalar da), ulusal düzeyde uygulanan federal düzeydeki bir yasağın kesinlikle farkında olacaklardır” dedi.
RTF, fidye yazılımı saldırılarından etkilenen kuruluşlara sıkı bir şantaj ödeme yasağı getirmek yerine kararlılık ve halihazırda devam eden çabaları iki katına çıkarma taahhüdü çağrısında bulunuyor.
Grup, eski siber otoriteler de dahil olmak üzere sekiz eş başkan tarafından yönetiliyor. Kemba Walden2023’ün büyük bölümünde ulusal siber direktör vekili olarak görev yapan ve şu anda Paladin Global Institute’un başkanıdır.