Det seneste år har der været to britiske lovforslag, der fokuserede på problemet med ransomware-betalinger fra britiske virksomheder. Dette fokus fra den britiske regering kan signalere et skift i retning af at forbyde sådanne betalinger eller sætte virksomheder over for vanskelige valg. Dan Raywood undersøger detaljerne.

Sidste år indledte den britiske regering en hård indsats mod cyberkriminelle med foreslået lovgivning Det ville gøre betaling af løsepenge ulovlig for visse sektorer. Specifikt ville offentlige organer og operatører af kritisk national infrastruktur – herunder NHS, lokale råd og skoler – blive forbudt at betale løsepengekrav. Andre virksomheder, der ikke er omfattet af forbuddet, ville være forpligtet til at underrette regeringen om enhver intention om at betale.

Sikkerhedsminister Dan Jarvis udtalte, at forslaget har til formål at "smadre den cyberkriminelle forretningsmodel" og beskytte essentielle tjenester. Ved at samarbejde med industrien, sagde han, "sender vi et klart signal om, at Storbritannien står sammen i kampen mod ransomware."

Høringen løb over 12 uger (fra 14. januar til 8. april 2025) og foreslog:

  1. Et målrettet forbud mod ransomware-betalinger til reguleret kritisk national infrastruktur og den offentlige sektor.
  2. Et system til forebyggelse af ransomware-betalinger.
  3. En obligatorisk ordning for indberetning af hændelser.

Disse foranstaltninger ville repræsentere den første specifikke britiske lovgivning, der er designet til at bekæmpe ransomware, med det centrale mål at beskytte offentlige tjenester og kritisk infrastruktur mod afbrydelser.

I en kommentar udtalte Crystal Morin, senior cybersikkerhedsstrateg hos Sysdig, at forbedring af rapportering af ransomware-hændelser ikke er en overilet reaktion, men en strategisk tilpasning til et hurtigt udviklende trusselslandskab.

"Højprofilerede hændelser i løbet af det seneste år har vist, hvordan ransomware kan forstyrre kritiske tjenester og påvirke hverdagen," sagde hun. "Disse begivenheder viser, at cyberangreb, uanset hvor isolerede de måtte synes, udgør en reel risiko for den nationale sikkerhed og offentlighedens velbefindende."

Positiv respons

Konsulent og politisk specialist Jen Ellis bemærker den "overvældende positive respons" på regeringens høring om ideen om et forbud. Hun antyder, at dette delvist skyldes, at virksomheder ønsker at kunne fortælle kunderne, at de juridisk set ikke er i stand til at betale løsepenge og blot følger loven.

Hun påpeger også, at nogle mener, at ransomware udelukkende er profitdrevet, og at fjernelse af profitmotivet vil eliminere kriminaliteten. Dette overser dog faktorer som involvering af organiserede kriminelle grupper, der er forbundet med mere voldelige aktiviteter, herunder menneskehandel.

"Det tager ikke højde for omfanget af de penge, der tjenes, eller manglen på effektiv håndhævelse," siger Ellis. "Angriberne opererer ustraffet og kan ramme de mest sårbare organisationer med få omkostninger for dem selv."

"Det ignorerer også det faktum, at vi opererer på et globalt internet. Et forbud i Storbritannien beskytter ikke organisationer mod aktivitet, der finder sted andre steder."

Ny faktor

Mens høringen afventer sin næste fase, opstod der en yderligere udvikling i oktober, da parlamentsmedlem Bradley Thomas introducerede en private medlems regning i 2025. Lovforslaget vil kræve, at virksomheder, der opfylder specifikke kriterier, skal rapportere ethvert cyberafpresnings- eller ransomware-angreb til regeringen inden for en defineret tidsramme.

I forbindelse med lovforslaget bemærkede Thomas, at der i øjeblikket ikke er noget krav om, at virksomheder skal oplyse, hvornår en løsesum er blevet betalt, på trods af den økonomiske byrde, sådanne betalinger medfører. Hans forslag ville kræve, at ethvert selskab, der er registreret i henhold til selskabsloven fra 2006 med en årlig omsætning på over £25 millioner – eller ansvar for kritisk national infrastruktur – skal underrette regeringen inden for 72 timer efter at være blevet offer.

En yderligere rapport ville være påkrævet, hvis virksomheden eller en tredjepart på dens vegne havde foretaget en betaling, igen inden for 72 timer. Thomas anerkendte bekymringer om omdømmeskade, men sagde, at robust juridisk beskyttelse ville sikre, at rapporter forbliver fortrolige, medmindre videregivelsen anses for at være i national interesse.

"Fraværet af obligatorisk rapportering, især for løsepengebetalinger, skaber en farlig blind plet i vores nationale sikkerhed," sagde han. "Når virksomheder rapporterer disse betalinger, får vores sikkerhedsagenturer vigtige oplysninger om, hvem der er målet, og hvordan angrebene udvikler sig."

Morin sagde, at obligatorisk rapportering ikke handler om at udskamme organisationer, men om at styrke det kollektive forsvar. "Når organisationer rapporterer hændelser, får sikkerhedsteams indsigt i nye taktikker og sårbarheder, hvilket giver dem mulighed for at reagere hurtigere og forhindre større skader."

Hun tilføjede, at selvom frygten for omdømmet er forståelig, omfatter den foreslåede ramme sikkerhedsforanstaltninger, der begrænser offentliggørelse til særlige tilfælde. "Et obligatorisk, men 'skamfrit' rapporteringssystem anerkender denne realitet."

Afskrækkelse af ransomware-angreb

I forbindelse med forslagene fortalte Ellis til ISMS.online, at hun ikke mener, at et landsdækkende betalingsforbud ville afskrække angreb væsentligt. "De fleste ofre bliver angrebet opportunistisk, fordi de er forbundet til internettet. Infektioner sker bare."

"Jeg tror ikke, at et betalingsforbud vil være effektivt, medmindre det er globalt," sagde hun. "Angriberne vil tilpasse sig."

Om rapportering sagde Ellis, at nøglen er at normalisere afsløringen. "Vi er nødt til at fjerne brodden fra rapportering og forbedre vores forståelse af, hvad der sker. Det kan vi ikke gøre, hvis folk ikke rapporterer."

"Rapportering vil ikke løse problemet, men det vil give os en bedre idé om dets sande omfang."

Om hvorvidt virksomheder stadig ville betale i hemmelighed, hvis et forbud blev indført, sagde Ellis, at det er svært at forudsige. Hun har talt med virksomhedsejere, der mener, at de ikke ville have noget valg, hvis de stod over for en eksistentiel trussel.

Hun fremhævede også den potentielle indvirkning på cyberforsikring. "Hvis betaling er ulovlig, dækker forsikringen det ikke. I stedet skal forsikringsselskaberne dække omkostningerne ved inddrivelse, hvilket kan føre til, at de kræver stærkere modstandsdygtighedsforanstaltninger."

Thomas' lovforslag skal til andenbehandling i maj, og begge forslag har til formål at begrænse betaling af løsepenge. For virksomheder, hvor betaling synes at være den eneste mulighed, kan alternativerne dog være begrænsede.

Forskning fra Sophos i 2025 fandt ud af, at næsten 50 % af virksomhederne betalte løsepenge for at gendanne deres data. En anden forslag søger at forbedre standarderne for modstandsdygtighed for britiske virksomheder.

I sidste ende synes de fleste interessenter at støtte rapporteringskravene, men spørgsmålet om, hvorvidt man skal betale, vil blive mere komplekst under et juridisk mandat. Nu er det tid for organisationer at styrke modstandsdygtigheden og beslutte, om de kan overleve uden at købe sig ud af cyberkriminalitet.