.
Uma proibição total de pagamentos de ransomware em todo o setor público poderá realmente acontecer depois de o governo do Reino Unido abrir uma consulta sobre como combater a tendência de os criminosos bloquearem sistemas inteiros e os contribuintes pagarem a conta.
A consulta irá considerar opiniões sobre o alargamento da proibição de pagamento de resgates dos departamentos do governo central a todos os serviços públicos, incluindo hospitais, escolas, autoridades locais e redes de transportes estatais.
Anunciada hoje, a consulta de 12 semanas decorrerá de 14 de janeiro a 8 de abril e explorará três propostas, a primeira das quais é a proibição total de pagamentos para o setor público e organizações de infraestrutura nacional crítica (CNI).
A noção geral é tornar a perspectiva de atingir estes sectores indesejável para criminosos com motivação financeira. Também envolveria a notificação obrigatória de incidentes para apoiar as agências de aplicação da lei e de inteligência.
Em segundo lugar, “um regime de prevenção de pagamentos de ransomware”, como o Ministério do Interior o chama, levaria a primeira proposta ainda mais longe. Esta ideia pressupõe que uma proibição de pagamentos ao sector público seria implementada e, posteriormente, exige que quaisquer organizações e empresas não abrangidas por uma proibição existente procurem a aprovação do governo antes de pagarem o resgate. Seria uma espécie de “licença” de pagamento de ransomware, que pode ou não ser emitida dependendo da natureza do incidente.
Uma abordagem pan-industrial também veria as forças de combate ao crime do país capacitadas com dados adicionais para informar as investigações e operações em curso, embora a consulta também considere se as regras só se aplicariam a ataques que atingissem um determinado limiar.
A terceira e muito mais fraca abordagem propõe a implementação de uma lei de notificação obrigatória para incidentes de ransomware. (Portanto, não há proibição.) Isto forneceria aos combatentes do crime cibernético do Reino Unido o máximo de dados possível para melhor informar as suas investigações (e potencialmente os seus esforços de interrupção à la LockBit), mas certamente não é tão poderoso quanto as outras ideias no mesa.
Tal como a segunda proposta, a consulta irá considerar se a regra será aplicável a todas as organizações e indivíduos ou se será baseada num ataque que atinja um limite específico.
“Reduzir o crime cibernético é fundamental para as missões deste governo de reduzir o crime, gerar crescimento e manter o povo britânico seguro”, disse o ministro da segurança, Dan Jarvis, num comunicado.
“Com cerca de mil milhões de dólares a fluir para criminosos de ransomware em todo o mundo em 2023, é vital agirmos para proteger a segurança nacional como uma base fundamental sobre a qual o Plano de Mudança deste Governo é construído.
“Estas propostas ajudam-nos a enfrentar a escala da ameaça do ransomware, atingindo estas redes criminosas nas suas carteiras e cortando o principal canal financeiro de que dependem para operar.
“Hoje marca o início de um passo vital para proteger a economia do Reino Unido e manter as empresas e os empregos seguros.”
Como parte da sua primeira Lei de Segurança Cibernética, a Austrália introduziu regras obrigatórias de comunicação de incidentes em novembro de 2024, exigindo que as organizações reportem ataques de ransomware, desde que cumpram o limite de receitas. Este valor foi fixado em AU$ 3 milhões (US$ 1,845 milhão), o que captura aproximadamente 6,56% das empresas australianas, de acordo com o Centro de Segurança Cibernética e de Infraestrutura do país.
Dados os estreitos laços políticos e económicos do Reino Unido com a Austrália, um limiar ou percentagem semelhante de organizações britânicas pode ser considerado se a regra for espelhada.
Nenhuma grande economia tomou medidas no sentido de proibir o pagamento de resgates numa escala tão grande como a descrita em algumas das propostas do Reino Unido hoje. Seria um momento monumental para a política cibernética, caso fossem aprovadas e implementadas.
O NCSC do Reino Unido também parece estar do lado da consulta, com o novo CEO Richard Horne a afirmar: “Esta consulta marca um passo vital nos nossos esforços para proteger o Reino Unido dos efeitos paralisantes dos ataques de ransomware e dos custos económicos e sociais associados.
“Organizações de todos os tamanhos precisam construir suas defesas contra ataques cibernéticos, como ransomware, e nosso site contém uma riqueza de conselhos adaptados a diferentes organizações. Além disso, o uso de estruturas comprovadas, como Cyber Essentials, e serviços gratuitos, como o Early Warning do NCSC, ajudará para fortalecer sua postura geral de segurança.
“E as organizações em todo o país precisam fortalecer sua capacidade de continuar as operações diante da interrupção causada por ataques de ransomware bem-sucedidos. Não se trata apenas de ter backups em funcionamento: as organizações precisam ter certeza de que testaram planos para continuar suas operações. na ausência prolongada de TI, caso um ataque seja bem-sucedido, e tenham um plano testado para reconstruir seus sistemas a partir de backups.”
É hora de debater… de novo
Assim, durante 12 semanas, os legisladores e especialistas em segurança cibernética do Reino Unido debaterão mais uma vez a eficácia de possíveis abordagens para interromper o ransomware.
Os prós e contras de ambos os lados do debate sobre a proibição do pagamento de ransomware já foram bem informados. Ambos os campos têm defensores ferozes lutando pelo seu lado, embora a maioria concorde que algum tipo de meio-termo provavelmente será o melhor. A questão é em grande parte motivada por quais compromissos são ou não aceitáveis.
Ciaran Martin, o CEO fundador do NCSC do Reino Unido, opinou no ano passado no noticiário nacional que os pagamentos de resgate deveriam ser proibidos, com o debate resultante atingindo rapidamente o auge.
Ele argumentou que muitos dos argumentos contra a proibição eram “terríveis”, encerrando o pequeno artigo dizendo simplesmente: “Temos que encontrar uma maneira de fazer com que a proibição de pagamentos de resgate funcione”.
Os oponentes argumentam que uma proibição traria várias consequências negativas não intencionais que piorariam a forma como o ransomware é tratado. Os argumentos incluem que as vítimas possam recorrer a outros meios ilícitos para compensar os operadores de ransomware ou recuperar os seus dados, o que, por sua vez, pode desencorajar o seu envolvimento com as autoridades policiais.
O ponto de vista é adotado até mesmo nos níveis mais altos, como a Força-Tarefa Ransomware do Instituto de Segurança e Tecnologia.
Uma das co-presidentes dessa força-tarefa, a especialista em segurança Jen Ellis, disse em um debate online sobre o assunto, organizado pelo Royal United Services Institute (RUSI) no ano passado, que a ideia de que os formuladores de políticas podem simplesmente forçar as organizações a se tornarem resilientes ao ransomware é “ótimo”, mas “completamente desconectado da realidade”.
Ela disse que não se trata de organizações com preguiça de cumprir os padrões de resiliência, mas sim de “um milhão e um incentivos que operam na direção errada”. Exemplos disso incluem acessibilidade, conhecimento técnico e maturidade.
Outro factor relacionado é que foram feitas críticas à indústria de seguros cibernéticos por facilitar o pagamento de resgates, proporcionando às organizações acesso à liquidez para o fazer.
Ellis e Jamie McColl, pesquisador da RUSI, também apontaram que, na época, um pequeno número de estados dos EUA proibiram departamentos governamentais de pagar resgates com pouco ou nenhum impacto na frequência dos ataques.
Embora a proibição de pagamentos de resgate possa parecer a solução fácil e de um clique para o ransomware – eliminando os crimes onde dói – inaugurar essa mudança não será uma tarefa fácil para o governo do Reino Unido, caso decida prosseguir com isto.
No entanto, a situação cibernética do Reino Unido piora a cada ano. A revisão anual mais recente do NCSC revelou que o número de ameaças à segurança que atingiram o limite máximo de gravidade da agência triplicou em comparação com 2023.
O número de incidentes e casos de ransomware de importância nacional também aumentou ano após ano, sugerindo que as abordagens atuais para combater o crime não estão diminuindo. ®
.