Viime vuonna Isossa-Britanniassa on esitetty kaksi lainsäädäntöaloitetta, jotka ovat keskittyneet brittiläisten yritysten kiristyshaittaohjelmilla tekemiin maksuihin. Tämä Ison-Britannian hallituksen keskittyminen voi merkitä siirtymistä tällaisten maksujen kieltämiseen tai jättää yritykset vaikeiden valintojen eteen. Dan Raywood tarkastelee yksityiskohtia.

Viime vuonna Britannian hallitus aloitti kyberrikollisten vastaisen toiminnan ehdotettu lainsäädäntö mikä tekisi lunnaiden maksamisesta laitonta tietyillä aloilla. Erityisesti julkisen sektorin elimet ja kriittisen kansallisen infrastruktuurin ylläpitäjät – mukaan lukien NHS, paikalliset kunnat ja koulut – kiellettäisiin maksamasta lunnaita. Muiden kiellon piiriin kuulumattomien yritysten olisi ilmoitettava hallitukselle aikomuksestaan ​​maksaa.

Turvallisuusministeri Dan Jarvis sanoi ehdotuksen pyrkivän "murskaamaan kyberrikollisuuden liiketoimintamallin" ja suojaamaan keskeisiä palveluita. Hän sanoi, että yhteistyöllä alan toimijoiden kanssa "lähetämme selkeän signaalin siitä, että Iso-Britannia on yhtenäinen taistelussa kiristysohjelmia vastaan".

Kuuleminen kesti 12 viikkoa (14. tammikuuta – 8. huhtikuuta 2025) ja siinä ehdotettiin seuraavaa:

  1. Kohdennettu kiristyshaittaohjelmien maksukielto säännellylle kriittiselle kansalliselle infrastruktuurille ja julkiselle sektorille.
  2. Kiristyshaittaohjelmien maksunestojärjestelmä.
  3. Pakollinen tapahtumailmoitusjärjestelmä.

Nämä toimenpiteet olisivat ensimmäinen erityinen kiristysohjelmien torjuntaan tarkoitettu Yhdistyneen kuningaskunnan lainsäädäntö, jonka keskeisenä tavoitteena on suojella julkisia palveluja ja kriittistä infrastruktuuria häiriöiltä.

Sysdigin vanhempi kyberturvallisuusstrategi Crystal Morin kommentoi tilannetta, että kiristyshaittaohjelmien raportoinnin parantaminen ei ole polvipohjainen reaktio, vaan strateginen sopeutuminen nopeasti muuttuvaan uhkakuvaan.

”Viime vuoden aikana tapahtuneet korkean profiilin tapaukset ovat osoittaneet, miten kiristysohjelmat voivat häiritä kriittisiä palveluita ja vaikuttaa jokapäiväiseen elämään”, hän sanoi. ”Nämä tapaukset osoittavat, että kyberhyökkäykset, olivatpa ne kuinka yksittäisiä tahansa, aiheuttavat todellisia riskejä kansalliselle turvallisuudelle ja kansalaisten hyvinvoinnille.”

Positiivinen vastaus

Konsultti ja politiikan asiantuntija Jen Ellis huomauttaa, että kieltoa koskevassa hallituksen kuulemisessa on vastaanotettu "ylivoimaisesti myönteisesti". Hän arvelee, että tämä johtuu osittain siitä, että yritykset haluavat kertoa asiakkailleen, että he eivät lain mukaan voi maksaa lunnaita ja että he yksinkertaisesti noudattavat lakia.

Hän huomauttaa myös, että jotkut uskovat kiristysohjelmien olevan puhtaasti voittoa tavoittelevia ja että voitontavoitteen poistaminen poistaisi rikoksen. Tämä kuitenkin jättää huomiotta tekijät, kuten väkivaltaisempaan toimintaan, kuten ihmiskauppaan, liittyvien järjestäytyneiden rikollisryhmien osallisuuden.

”Se ei ota huomioon ansaitun rahan määrää tai tehokkaan valvonnan puutetta”, Ellis sanoo. ”Hyökkääjät toimivat rankaisematta ja voivat kohdistaa iskut haavoittuvimpiin organisaatioihin pienin kustannuksin itselleen.”

”Se jättää myös huomiotta sen tosiasian, että toimimme globaalissa internetissä. Kielto Isossa-Britanniassa ei suojaa organisaatioita muualla tapahtuvalta toiminnalta.”

Uusi tekijä

Vaikka kuuleminen odottaa seuraavaa vaihettaan, lokakuussa tapahtui uusi käänne, kun kansanedustaja Bradley Thomas esitteli yksityisen jäsenen lasku vuonna 2025. Lakiesitys edellyttäisi tietyt kriteerit täyttäviltä yrityksiltä, ​​että ne ilmoittavat kaikista kyberkiristyksistä tai kiristysohjelmahyökkäyksistä hallitukselle määräajassa.

Esitellessään lakiesitystä Thomas huomautti, ettei yrityksillä tällä hetkellä ole velvollisuutta julkistaa lunnaiden maksamista, huolimatta siitä taloudellisesta taakasta, jota tällaiset maksut aiheuttavat. Hänen ehdotuksensa edellyttäisi, että kaikki vuoden 2006 yhtiölain nojalla rekisteröidyt yritykset, joiden vuotuinen liikevaihto on yli 25 miljoonaa puntaa – tai jotka ovat vastuussa kriittisestä kansallisesta infrastruktuurista – ilmoittaisivat hallitukselle 72 tunnin kuluessa uhriksi joutumisesta.

Jos yritys tai kolmas osapuoli sen puolesta suorittaa maksun, vaadittaisiin lisäraportti 72 tunnin kuluessa. Thomas myönsi huolensa mainehaitoista, mutta sanoi, että vankat oikeudelliset suojatoimet varmistaisivat raporttien luottamuksellisuuden, ellei niiden paljastamista pidetä kansallisen edun mukaisena.

”Pakollisen raportoinnin puuttuminen, erityisesti lunnaiden maksamisesta, jättää vaarallisen sokean pisteen kansalliseen turvallisuuteemme”, hän sanoi. ”Kun yritykset raportoivat näistä maksuista, turvallisuusvirastomme saavat elintärkeää tietoa siitä, keitä hyökkäykset kohdistavat ja miten hyökkäykset kehittyvät.”

Morinin mukaan pakollinen raportointi ei tarkoita organisaatioiden häpäisemistä, vaan kollektiivisen puolustuksen vahvistamista. ”Kun organisaatiot raportoivat vaaratilanteista, turvallisuustiimit saavat tietoa uusista taktiikoista ja haavoittuvuuksista, minkä ansiosta he voivat reagoida nopeammin ja estää laajempia vahinkoja.”

Hän lisäsi, että vaikka maineeseen liittyvät pelot ovat ymmärrettäviä, ehdotettu kehys sisältää suojatoimia, joilla paljastuminen rajoitetaan poikkeustapauksiin. ”Pakollinen mutta ’häpeämätön’ raportointijärjestelmä tunnistaa tämän todellisuuden.”

Kiristyshaittaohjelmien hyökkäysten estäminen

Ehdotuksia tarkastellessaan Ellis kertoi ISMS.online-sivustolle, ettei hän usko, että valtakunnallinen maksukielto estäisi hyökkäyksiä merkittävästi. ”Useimmat uhrit joutuvat hyökkäyksen kohteeksi opportunistisesti, koska he ovat yhteydessä internetiin. Tartunnat vain tapahtuvat.”

”En usko, että maksukielto on tehokas, ellei se ole maailmanlaajuinen”, hän sanoi. ”Hyökkääjät sopeutuvat.”

Raportoinnista Ellis sanoi, että avainasemassa on julkisuuden normalisointi. ”Meidän on tehtävä raportoinnista kirvelevää ja parannettava ymmärrystämme siitä, mitä tapahtuu. Emme voi tehdä sitä, jos ihmiset eivät ilmoita.”

"Raportointi ei ratkaise ongelmaa, mutta se antaa meille paremman käsityksen sen todellisesta laajuudesta."

Ellis sanoi, että on vaikea ennustaa, maksaisivatko yritykset edelleen salaa, jos kielto otettaisiin käyttöön. Hän on puhunut yritysten omistajien kanssa, jotka uskovat, ettei heillä olisi vaihtoehtoa, jos he kohtaisivat eksistentiaalisen uhan.

Hän korosti myös kybervakuutuksen mahdollista vaikutusta. ”Jos maksaminen on laitonta, vakuutus ei korvaa sitä. Sen sijaan vakuutusyhtiöiden olisi katettava perintäkulut, mikä voi johtaa siihen, että ne vaativat vahvempia sietokykytoimenpiteitä.”

Thomasin lakiesitys on määrä käsitellä toukokuussa, ja molemmat ehdotukset pyrkivät rajoittamaan lunnasmaksuja. Yrityksille, joille maksu näyttää olevan ainoa vaihtoehto, vaihtoehdot saattavat kuitenkin olla rajalliset.

Tutkimus Sophos vuonna 2025 havaittiin, että lähes 50 % yrityksistä maksoi lunnaita tietojensa palauttamiseksi. Toinen ehdotus pyrkii parantamaan Yhdistyneen kuningaskunnan yritysten sietokykystandardeja.

Viime kädessä useimmat sidosryhmät näyttävät tukevan raportointivaatimuksia, mutta kysymys siitä, onko maksuvelvollisuus tarpeen, monimutkaistuu lain myötä. Nyt on organisaatioiden aika vahvistaa selviytymiskykyä ja päättää, pystyvätkö ne selviytymään ostamatta tietään irti kyberrikollisuudesta.