Hvad Storbritanniens forbud mod ransomware-betaling betyder for organisationer

Den britiske regering håber at kunne tackle stigningen i ransomware-angreb ved at forbyde, hvad den hævder at være deres primære muliggører: løsepengebetalinger. Det foreslåede forbud, beskrevet af embedsmænd som et "nyt regime til forebyggelse af ransomware-betalinger", ville forhindre offentlige organisationer som lokale myndigheder og udbydere af kritisk national infrastruktur (CNI) på områder som energi, vand og sundhedspleje i at betale løsesum efter at være blevet ofre for et ransomware-angreb.

Disse forslag, som i øjeblikket er under høring, vil også tvinge private virksomheder til at informere myndighederne om deres hensigt om at betale hackere i tilfælde af et ransomware-angreb. Og hvis gerningsmændene bag ransomware-angrebet repræsenterer et fremmed land eller en gruppe på Storbritanniens sanktionsliste, kan regeringen træde til og stoppe betalinger. I mellemtiden vil både offentlige og private organisationer skulle afsløre hændelser med ransomware til embedsmænd, uanset om de planlægger at betale løsesum.

Reaktionerne på disse forslag har dog været blandede, og nogle eksperter har hævdet, at et forbud mod ransomware-betaling kunne være en god ting ved at tvinge organisationer til at tage cybersikkerhed alvorligt. Nogle stiller dog spørgsmålstegn ved, om et forbud rent faktisk ville afholde cyberkriminelle fra at iværksætte cyberangreb og mener, at offentlige organisationer kan blive sat i prekære situationer uden at have mulighed for at betale hackere. Uanset hvad, er det et absolut must for alle organisationer at have foranstaltninger på plads til at afbøde, begrænse og komme sig efter ransomware-angreb.

Tvunget til at tage cybersikkerhed alvorligt

Hvis den britiske regering fortsætter med sit foreslåede forbud mod ransomware-betaling, ville det være en væsentlig ændring i dens tidligere mere håndfaste tilgang til cyberrisiko. Sean Tilley, senior salgsdirektør for EMEA hos cloud-platformen 11:11 Systems, beskriver det som et "betydeligt skift" i regeringens cybersikkerhedspolitik, der lover at reducere antallet af ransomware-angreb rettet mod offentlige organisationer ved at mindske de økonomiske belønninger for hackere.

For at et sådant forbud skal være effektivt, siger Tilley, at offentlige organer og CNI-operatører er nødt til at foretage en "proaktiv revurdering" af deres cybersikkerhedsstrategier. Uden muligheden for at betale hackere for at gendanne stjålne eller låste data, forklarer han, at organisationer ville være nødt til at implementere stærke defensive foranstaltninger og genopretningsplaner. Han tilføjer: "Dette skift understreger vigtigheden af ​​at investere i omfattende cybersikkerhedsrammer for at sikre kritiske operationer."

Jake Moore, global cybersikkerhedsrådgiver hos antivirusproducenten ESET, er enig i, at et forbud mod betaling af ransomware ville være en stor ændring for berørte organisationer. Han siger, at det ville tvinge organisationer til at styrke deres cyberforsvar med nye tilgange, der giver dem mulighed for at komme sig efter ransomware-angreb uden at give afkald på hackers løsesum.

Ligesom Tilley siger Moore, at organisationer bliver nødt til at flytte deres opmærksomhed til robuste cybersikkerhedsforanstaltninger, backups og hændelsesresponsplaner under disse nye regler. Men i betragtning af den hurtige hastighed, hvormed online trusselslandskabet udvikler sig, er han bekymret for, at organisationer stadig kan blive ofre for malware-angreb med krav om løsesum på trods af nye og forbedrede afhjælpende bestræbelser. Derfor mener han, at datalækage vil "forblive et problem".

Forbuddet kan falde fladt

Selvom det virker rimeligt, at et forbud mod ransomware-betalinger ville afskrække hackere fra at udføre angreb og tvinge organisationer til at finde andre måder at afbøde dem på, tvivler nogle eksperter på, at det kan fungere i praksis.

Dan Kitchen, administrerende direktør for it-administrerede tjenester Razorblue, rejser spørgsmål om det obligatoriske indberetningselement i det foreslåede ransomware-betalingsforbud. Især er han bekymret for, at offentlig offentliggørelse af ransomware-angreb og den skade på omdømmet, dette kan forårsage, kan resultere i, at nogle organisationer dækker over hændelser. Han frygter, at dette vil gøre forbuddet ineffektivt.

I stedet for at forbyde ransomware-betalinger, foreslår Kitchen, at regeringsstøttede initiativer som Cyber ​​Essentials-certificeringsordningen er en mere praktisk tilgang til at tackle ransomware-angreb. Kitchen forklarer, at disse typer programmer tilbyder organisationer den "ideelle baseline" til at forbedre deres cybersikkerhed. Han opfordrer dog virksomheder til at gå et skridt videre ved at skabe omfattende hændelsesresponsplaner i samarbejde med regerings- og branchekolleger, som ville "forstærke den overordnede nationale reaktion på cyberkriminalitet".

Crystal Morin, cybersikkerhedsstrateg hos it-sikkerhedssoftwarefirmaet Sysdig, forudser også store problemer, hvis regeringen implementerer sit foreslåede ransomware-betalingsforbud. Hun foreslår, at hvis kritiske service- og infrastrukturorganisationer som sundhedsudbydere oplever et ransomware-angreb og ikke kan få deres systemer hurtigt op at køre igen ved at betale en løsesum, kan liv blive sat i fare.

"I nutidens praktiske forhold bør det være offerorganisationen, der beslutter at foretage en ransomware-betaling," siger hun. "Kun berørte virksomheder har nok indsigt til at afveje de potentielle risici og konsekvenser ved at betale eller ikke betale."

Morin opfordrer regeringen til at overveje beredskabsplaner, før de forbyder ransomware-betalinger i den offentlige sektor. Organisationer i den offentlige sektor ville nemlig have brug for ressourcer til at forbedre deres modstandsdygtighed over for cyberbrud og sikre, at deres backup-planer er effektive.

Hun mener, at ekstra support også ville være nødvendig for kritiske tjenester og infrastrukturudbydere med meget at tabe ved ikke at betale løsesum efter at have oplevet et ransomware-angreb. Hun beskriver dette som et "center for fremragende tilgang", og siger, at det ville sikre, at organisationer er "bedre forberedt" til at reagere på og komme sig efter ransomware-angreb.

Hun tilføjer: "Samlet set vil forbud kun tilskynde angribere til at ændre taktik og blive mere skjulte i deres operationer, anmodninger og transaktioner. Det er et lukrativt arbejde, som ikke vil forsvinde lige foreløbigt.”

Afhjælpning af Ransomware-angreb

Selv hvis der opstår et forbud mod betaling af ransomware i Storbritannien, kan utallige bedste praksis hjælpe organisationer med at afbøde ransomware-angreb. Morin anbefaler, at organisationer investerer i robuste trusselsdetektions- og reaktionsforanstaltninger, regelmæssigt sikkerhedskopierer deres data og segmenterer deres cloudmiljøer for at indeholde potentielle brud. Disse trin vil "hærde deres infrastruktur og lette inddrivelsen i tilfælde af, at de nægter at betale."

Ifølge Tilley fra 11:11 Systems kunne nul-tillid-arkitekturer også hjælpe med at forhindre ransomware-angreb ved at sikre, at brugere kun har de adgangsrettigheder, der er nødvendige for at udføre deres job. Men når du går denne vej, er det vigtigt at vurdere og ændre adgangsrettigheder regelmæssigt.

Fordi ransomware-angreb ofte opstår på grund af menneskelige fejl, såsom at klikke på et ondsindet link i en e-mail eller angive en svag adgangskode, er det også vigtigt at uddanne medarbejderne om cybersikkerhedsrisici. Tilley siger, at oplysningsprogrammer om cybersikkerhed bør indeholde oplysninger om phishing, social engineering og andre almindelige onlinetrusler.

Ud over at målrette mod dårligt uddannede brugere for at sprede ransomware-angreb, kan hackere også bruge forældet software som et indgangspunkt. Så organisationer har ikke råd til at ignorere vigtigheden af ​​patch management. Ifølge Tilley betyder stigningen i ransomware-angreb, at organisationer har brug for "en streng proces for at anvende sikkerhedsrettelser og opdateringer til alle systemer og software med det samme".

I betragtning af at onlinetrusselslandskabet udvikler sig hurtigt, siger Tilley, at organisationer løbende skal forbedre deres hændelseshåndteringsprocesser ved at udføre "regelmæssige øvelser og anmeldelser efter hændelsen". Han tilføjer: "En velstruktureret hændelsesresponsplan gør det muligt for organisationer hurtigt at identificere, indeholde og afhjælpe sikkerhedshændelser, hvilket minimerer

driftsforstyrrelser.”

Men det behøver ikke være svært at lave sådan en plan. Tilley siger, at professionelle industrirammer såsom ISO 27001 giver mange af de bedste praksisser, der er nødvendige for at afbøde ransomware og andre cybertrusler. Hvad mere er, vil overholdelse af disse bedste praksis vise, at en organisation er forpligtet til cybersikkerhed og hjælpe den med at fremme en "igangværende kultur for forbedring af sikkerheden", tilføjer han.

Et forbud mod betaling af ransomware vil øge vigtigheden af ​​strømlinede hændelsesrapporteringsprocesser, ifølge ESETs Moore. Han siger, at organisationer bør forberede sig på denne uundgåelighed ved at indføre automatiserede værktøjer til sporing af hændelser og nøje følge regler som GDPR og NIS2. Han tilføjer: "Kompetente overholdelsesaudits og klare kommunikationskanaler hjælper også med mere åben klarhed, hvilket er afgørende for forståelsen af ​​et angreb og fremskridt."

Samlet set kan et forbud mod ransomware-betaling virke som en god idé, der udsætter skurke fra ransomware-angreb, da de ikke har noget at vinde ved dem. Men tingene er langt mere nuancerede. Virkeligheden er, at selvom ransomware-betalinger er forbudt, vil hackere blot fokusere deres indsats på andre angrebsvektorer eller målindustrier, der ikke er omfattet af det generelle forbud. Uden at være i stand til at betale cyberkriminelle, der lancerer ransomware-angreb, kan den offentlige sektor og kritiske nationale operatører opleve alvorlige forstyrrelser i deres operationer, hvilket potentielt kan sætte liv på spil.

En bedre tilgang kan være, at regeringen giver mere støtte og ressourcer til at hjælpe organisationer med at afskrække ransomware-angreb, hvor løsepengebetalinger er den sidste udvej, men ikke helt ude af bordet. Uanset hvad der er tilfældet, fortsætter ransomware-angreb med at vokse i omfang og sofistikeret. Så organisationer har ikke råd til at ignorere denne kendsgerning og lade deres vagt ligge.