Sigurnosni stručnjaci traže zabranu plaćanja otkupnina hakerima
Stručnjaci za kibernetičku sigurnost novozelandskog Emsisofta objavili su statistički pregled najvećih hakerskih napada ucjenjivačkim zloćudnim programima i predlažu novi način suzbijanja te pojave
Ransomware ili ucjenjivački zloćudni softver jedan je od najčešćih hakerskih alata, kojim se kibernetički kriminalci pokušavaju domoći značajnih novčanih iznosa. Stručnjaci za kibernetičku sigurnost novozelandske kompanije Emsisoft objavili su ovoga tjedna godišnji pregled "State of Ransomware", za područje Sjedinjenih Američkih Država, prema kojem je vidljivo da su takvi ucjenjivački napadi i dalje u porastu.
Tijekom 2023. godine u SAD-u je ransomwareom bilo izravno pogođeno 2.207 bolnica, škola i raznih državnih institucija, a neizravne su štete od takvih napada pretrpjele još tisuće drugih institucija i privatnih organizacija. Kako se broj napada i dalje povećava, rastu i financijske i materijalne štete prouzročene kriptiranjem dokumenata. Povrh toga, Emsisoft procjenjuje da je u posljednjih nekoliko godina, od 2016. na ovamo, u SAD-u prosječno jedna osoba mjesečno i smrtno stradala zbog napada na bolničke sustave i nemogućnosti pružanja liječničke skrbi. Krajnje je vrijeme, kažu, da se nešto ozbiljno poduzme po tom pitanju, a njihov je prijedlog – zakonska zabrana plaćanja otkupnine.
"Zabranimo isplate sada"
Jednom kada hakeri upadnu u sustav i kriptiraju podatke, pa zatraže otkupninu, privatne i državne se organizacije nalaze pred dilemom – platiti traženo ili samostalno oporavljati sustave. Ako pritom nemaju dobar backup, vjerojatnije je da će se odlučiti na plaćanje, no ono nikada ne jamči da će dekripcijski ključ zaista i biti dostavljen.
Vlade i organizacije do sada su već pokretale razne inicijative, pa je tako početkom studenoga potpisana i zajednička izjava Međunarodne inicijative protiv ransomwarea (International Counter Ransomware Initiative), čija je potpisnica i Hrvatska. Tamo, među ostalim, stoji da državne institucije i organizacije neće plaćati otkupninu kriminalcima. Ipak, Emsisoft smatra da to nije dovoljno te da je potrebno zabranu i zakonski uvesti u što više zemalja.
"Jedini održivi mehanizam pomoću kojeg vlade mogu brzo smanjiti količine ransomwarea je zabrana plaćanja otkupnine. Ransomware je pothvat vođen profitom. Ako ga se učini neprofitabilnim, većina napada će brzo prestati", smatraju njihovi stručnjaci te pozivaju na široku međunarodnu zakonsku zabranu plaćanja otkupnine. "Možemo ili sada zaustaviti isplate otkupnine i sada zaustaviti ransomware, ili pak možemo nastaviti snositi ljudske i financijske gubitke dok pokušavamo osmisliti alternativne strategije", oštra je poruka stručnjaka.
Napadi ucjenjivačkim softverima postaju sve češći i gori, više je napadača i agresivniji su, a ono što vlade diljem svijeta sada rade, očito ne pomaže. Da postoji zabrana, kriminalci bi se vjerojatno brzo predomislili i prešli s visokoučinkovitih napada temeljenih na enkripciji na druge manje razorne oblike kibernetičkog kriminala. Za njih stvarno ne bi imalo smisla trošiti vrijeme i trud napadajući organizacije koje im ne smiju i ne mogu platiti – sve to su argumenti u prilog zakonske zabrane plaćanja otkupnine. Na novu situaciju morale bi se priviknuti i organizacije, nekima bi ta promjena donijela i kratkoročne gubitke, no Emsisoft argumentira da bi dugoročno zabrana donijela daleko više koristi.