應該禁止支付贖金嗎?
最近,隨著網路罪犯繼續從他們的攻擊中獲取財務收益,有關禁止支付贖金的討論越來越多。美國官員長期以來一直敦促不要支付贖金。儘管包括北卡羅來納州和佛羅裏達州在內的幾個美國州已經將地方政府實體支付贖金的行為定為非法,拜登政府最近決定不對贖金支付進行全國性禁令。禁止支付贖金確實有其困難之處並需要複雜的執行機制,但批評者認為對駭客支付費用罪化最終懲罰了網路犯罪的受害者,他們可能因為做出他們認為必要的行為來保護或挽救他們的企業而最終面臨法律後果。
全球監理的難題
雖然挑戰依然存在,但美國政府的觀念似乎可能開始轉變。自 2023 年 10 月以來,由 40 多個國家組成的美國領導的聯盟承諾不向網路罪犯支付贖金,以剝奪駭客的收入來源。自那時以來,不僅關於潛在贖金支付禁令的討論變得更加熱烈,贖金軟體活動也變得更為猖獗。僅在 2024 年,我們就看到了以賺快錢為目的的駭客公開利用各種遠端存取工具的漏洞來部署贖金軟體;臭名昭著的贖金軟體組織在政府打擊後回歸;以及在一起對處方處理巨頭 Change Healthcare 的敲詐軟體攻擊後導致美國各地的醫療機構受到干擾。禁止支付贖金是解決問題的方法嗎?
思考禁止與否
從表面上看,禁止支付贖金似乎是合乎邏輯的。如果受害組織被禁止支付,攻擊者就會少了一個金錢誘因來偷取他們的資料。從理論上講,這意味著那些試圖快速致富的人將被迫轉向其他地方,贖金軟體攻擊可能會成為過去的事情。另一方面,許多人相信禁止支付贖金是對一個複雜問題的過於簡化的解決方案。贖金軟體是一個全球性問題。對贖金支付的禁令要想得到成功,必須實施國際和普遍的監管,這在不同國際標準存在的情況下幾乎不可能執行。這也將需要那些向網路罪犯提供安全避風港的政府 —— 俄羅斯顯而易見 —— 在自己的領土內採取行動,而他們沒有動力這樣做。對贖金支付的全面禁令還很可能需要在危急情況下進行例外,例如涉及醫療機構生命風險的贖金軟體攻擊或對國家關鍵基礎設施的威脅。這些例外,雖然合乎邏輯,也將適用於這些攻擊背後的駭客,這可能會導致對國家關鍵基礎設施的攻擊。只要網路罪犯繼續賺錢,贖金軟體和敲詐威脅就不會消失。一些人還主張,如果在美國或任何其他受害嚴重的國家實施了贖金支付禁令,企業可能會停止向當局報告這些事件,從而有效地扭轉了過去受害者和執法機構之間的所有合作。
禁令的可能性
在這個問題上還存在另一個問題,那就是禁令支付贖金的有效性。 歷史已經表明,駭客對規則幾乎毫不在乎。即使一家組織最終屈服於攻擊者的贖金要求,受害者的資料也並不總是被刪除。鑑於這些攻擊者的厚顏無恥,他們不太可能受到禁止支付贖金的阻止。舞弊支付贖金的罪惡行為確實對社會沒有任何好處,事實上對社會來說存在直接的傷害,“這樣做的威脅行為,這些不對社會產生任何純淨的好處,事實上對社會來說這存在直接的傷害。” “將禁止支付贖金能夠阻止贖金軟體組織進行攻擊嗎?對這個問題的答案是毋庸置疑的,是不會。”
結論
綜合來看,雖然禁止支付贖金的想法具有一定合理性,但實施起來存在諸多困難。解決贖金軟體問題需要更加全球性的合作和更為複雜的解決方案。未來,應該更加注重在全球範圍內加固監管合作,協商建立更為有效的機制。此外提高公眾對網路安全風險的認知,加固企業和使用者對資料保護的重視,也是發展中的重要方向。
