В США хотят законодательно запретить выплату выкупов хакерам-вымогателям

В прошлом году средний платёж хакерам составил 310 тыс. долларов.Фото: Chris Carlson/AP/TASS

Американские законодатели начали разработку законодательной базы, которая предусматривала бы отказ жертв хакерских атак от выплаты выкупа вымогателям.

«Позиция правительства США заключается в том, что мы категорически не поощряем выплату выкупа», – заявил сотрудник отдела кибербезопасности министерства внутренней безопасности Эрик Голдштейн на слушаниях в конгрессе.

Он напомнил, что оплата не гарантирует возврата украденных данных или того, что конфиденциальные файлы не будут выставлены на продажу на криминальных форумах в даркнете. Однако даже если мошенники-вымогатели сдержат своё слово, это не исключает следующих атак с увеличением выкупа.

На начальном этапе разрабатываемое законодательство обяжет немедленно сообщать на федеральном уровне об атаках программ-вымогателей, чтобы помочь в реагировании, идентифицировать авторов и даже возместить выкуп, как это сделало ФБР с большей частью из 4,4 млн долларов, которые недавно заплатила компания Colonial Pipeline.

В апреле сотрудник службы национальной безопасности в министерстве юстиции Джон Демерс с недоверием отнёсся к запрету платежей, заявив, что это может поставить власти «в более враждебную позицию по отношению к жертвам, чего мы не хотим».

Британский закон 2015 года запрещает британским страховым компаниям возмещать компаниям выплаты выкупа террористов. Эта модель, по мнению некоторых экспертов, должна применяться к платежам выкупов с использованием программ-вымогателей повсеместно.

Законодательство США запрещает материальную поддержку террористов, но министерство юстиции в 2015 году сняло угрозу уголовного преследования граждан, которые платят выкуп террористам.

Некоторые жертвы программ-вымогателей заняли принципиальную позицию отказа от платежей. Одна из них – сеть здравоохранения Университета Вермонта, потратившая после октябрьской атаки на восстановление данных и потерявшая из-за невозможности оказывать услуги более 63 млн долларов.

Ирландия тоже отказалась вести переговоры о платежах, когда в прошлом месяце её национальная служба здравоохранения пострадала. В результате по состоянию на 17 июня 42 процента из 4000 компьютерных серверов системы всё ещё не были разблокированы.

Большинство жертв программ-вымогателей платят выкуп. Страховая компания Hiscox утверждает, что отдать деньги решают чуть более 58 процентов её пострадавших клиентов, в то время как ведущий брокер по страхованию киберпространства Марш Макленнан называет цифру примерно в 60 процентов для своих клиентов из США и Канады.

Как выяснилось в ходе опроса Cybereason, почти 1300 специалистов по безопасности, четыре из пяти предприятий, которые решили платить выкуп, подверглись второй атаке с использованием программ-вымогателей.

По данным компании Palo Alto Networks, вымогательство стало бизнесом с многомиллиардным оборотом. В прошлом году средний платёж составил более 310 тыс. долларов, что на 171 процент больше, чем в 2019 году.