Az amerikai kormány figyelmeztetést adott ki a növekvő ransomware kockázatokkal kapcsolatosan. Ebben arra hívják fel az állami cégek figyelmét, hogy a váltságdíj kifizetését elősegítő szereplők azt kockáztatják, hogy emiatt szigorú büntetéseket rónak ki rájuk a hatályos előírások megsértése miatt.
A nulla kilométerkövet reprezentáló 2013-as CryptoLocker óta eltelt kerek hét esztendő. A jelenség egyre csak erősödött, sőt a Covid-19 járvány alatt már csúcsrajáratták a bűnözők. Súlyosbítva mindezt azzal, hogy egy idő óta a "titkosítom és fizess ha vissza akarod kapni" szimpla receptet már rendszeresen megfűszerezik a "ja és ha nem fizetsz, akkor publikussá tesszük a titkosítás előtt még jól ellopott bizalmas adataitad" mondással.
És ha mindez még nem lett volna elég, láthattunk erőteljes elmozdulást a kormányzati, egészségügyi intézmények célzott támadására, aminek részben az is kifejezetten katalizátora volt, hogy sok helyen egy ransomware elleni biztosítással letudták a felkészülést.
Az Egyesült Államok Pénzügyminisztériumának egyik hivatala (US Treasury Department’s Office of Foreign Assets Control, OFAC)) október 1-én kiadott egy iránymutatást, hogy ebben figyelmeztesse a ransomware miatti váltságdíj kifizetéseket teljesítő vagy ennek menetét az áldozatok nevében megkönnyítő közvetítő szervezeteket (ideértve a pénzügyi intézményeket, a kiberbiztosító cégeket, valamint a digitális kriminalisztikában és az incidensek elhárításában részt vevő azon társaságokat, amelyek a ransomware-fizetést kifejezetten ösztönzik), hogy ezen tevékenységükkel élesen szembekerülhetnek az amerikai előírásokkal, amelynek szigorú büntetés lehet a következménye.
A leiratban jogi konzekvenciákat helyeznek kilátásba az ilyen váltságdíj bizniszt erősítő szervezeteknek, hiszen ezzel támogatják, bátorítják, erősítik a bűnözőket, akik még erőteljesebben terjesztik ezeket a kártevőket, hiszen számukra nagyon is megéri. A Szövetségi Nyomozó Iroda (Federal Bureau of Investigation’s, FBI) 2018. és 2019. évi internetes bűnözésről szóló jelentései szerint a bejelentett ransomware-esetek (ami a látencia miatt a valós értéknél biztosan jóval kisebb) száma 37% -kal emelkedett, míg az incidensekhez kapcsolódó veszteségek éves növekedése 147% -kal nőtt 2018-tól 2019-ig.
Emellett emlékezetes lehet az a statisztikai adat is, amelyet az anonim adatokat gyűjtő Coveware hozott nyilvánosságra. Eszerint az előző negyedévhez képest kétszer több váltságdíjat fizettek 2019. negyedik negyedévében, tehát duplájára nőttek a váltságdíj összegek.
Mostantól tehát fokozottan érdemes figyelni erre mind a cégeknek, mind a magánszemélyeknek. A pénzügyminisztériumi közlemény egyértelműsíti, hogy a váltságdíj fizetés fenyegeti az Egyesült Államok nemzetbiztonsági érdekeit, és tilos megkönnyíteni ennek a fizetési folyamatnak a menetét.
Javaslataik között elsősorban a megelőzésre hívják fel a szervezetek figyelmét, amelyben a biztonsági kockázatok rendszeres felmérésére, rendszeres mentésekre, a megfelelő védelem és incidens esetén alkalmazott eljárásrend kialakítására buzdítanak, valamint hogy a ransomware támadások áldozatainak haladéktalanul kapcsolatba kell lépniük az érintett OFAC kormányzati ügynökséggel.
Azt a részt is érdemes említeni, hogy abszolút nincs garancia arra, hogy fizetés esetén az áldozat valóban megkapja-e a szükséges titkosítást feloldó kulcsokat, ahogy naivság azt is feltételezni, hogy a nyilvánosságra hozás megelőzése miatti egyszeri váltságdíj fizetés örökre megoldja a publikusság tétel miatti problémánkat, félelmünket.
A közgazdaság iránt érdeklődő olvasóinknak ajánljuk az alábbi két blogbejegyzést, amely szerint pusztán önös gazdaságossági szempontból a poszt írója előnyösnek ítéli meg a váltságdíj fizetést, illetve egy másik bejegyzésben azt prognosztizálja, hogy az állami vállalatoknak előírt fizetési moratórium negatív hatással járhat a jővőre nézve. Ha egy olyan magán vagy multicég szemszögéből nézzük, amelynek éves forgalma sok milliárd dollár, és amely ha költség-haszon elemzést végez arra, hogy ha pár hétre teljesen le kellene állnia, akkor szinte biztos, hogy a váltságdíjat fogja a legkevésbé rossz választásnak tartani.
Anélkül, hogy ebben a kérdésben állást foglalnánk, annyi bizonyos, hogy amint a GDPR felkészüléshez sem elegendő csupán a jogi dolgok rendbetétele informatikai, IT biztonsági lépések nélkül, a ransomware elleni küzdelem egyedüli jolly jokere sem lehet pusztán csak a zsarolóvírus elleni biztosítás megkötése IT security területen megvalósított megfelelő védekezés, megelőzés nélkül.
