美國白宮正面臨日益龐大的壓力,必須拿出具體對策來因應橫掃美國及全球的勒索病毒 Ransomware (勒索軟體)疫情。就在我們等待的同時,媒體卻報導了一則新聞指出,政府有可能不小心變相鼓勵遭到勒索病毒攻擊的企業支付贖金。
根據美聯社 (Associated Press) 一篇文章指出,美國國稅局 (IRS) 打算讓企業在年度報稅時將他們所支付的勒索病毒贖金扣除,而事情似乎不應該這樣發展。
日益崛起的威脅
大家都知道,今日的駭客集團不僅動機強大、資源充足,而且數量不斷成長,讓企業機構面臨了無比龐大的壓力。根據趨勢科技研究發現,2020 年勒索病毒家族數量較前一年成長 34%,而這還未計算過去幾個月冒出來的大量相關集團。
駭客所使用的工具和技巧日益精密,包括:採取類似多階段「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱 APT攻擊)手法、利用合法工具在企業內橫向移動並竊取資料、運用四重勒索技巧。駭客總能找到企業網路資安防護上的漏洞來滲透企業,所以許多企業正面臨的問題是如何找到一套適當的偵測及回應工具,好讓他們在損害造成之前,預先發掘駭客入侵的跡象,並盡速採取對應行動。
拜登政府開始針對勒索病毒威脅採取更進一步的四個行動
美國東部輸油管營運商 Colonial Pipeline 和巴西跨國食品加工集團 JBS 遭到駭客攻擊的事件,讓許多高層決策者真正意識到眾多關鍵供應鏈所面臨的風險。所幸,拜登政府已經開始針對勒索病毒威脅採取更進一步的行動,包括:
- 由國安會 (NSC) 網路資安主任發布一份信函呼籲企業更嚴肅看待這項威脅。
- 由司法部 (DOJ) 成立一個勒索病毒與數位勒索工作小組來集中協調調查工作。
- 升高層級將勒索病毒當成國家安全威脅,授權國家情報單位針對外國網路犯罪進行調查。
- 條列一張網路攻擊應避開的 16 項關鍵基礎設施清單,交給俄羅斯總統普廷。
不過,我們還未看到這些政策有任何具體的成果。趨勢科技與美國聯邦調查局 (FBI) 的立場一至,我們呼籲受害機構切勿支付贖金,因為我們目前的情況很多時候就是因為企業支付贖金所造成,犯罪集團就是看到了如此唾手可得的發財機會,才會紛紛湧入。他們深知,只要挑選那些年營收上億美元的私人企業,受害者通常都會乖乖付錢。而且他們知道自己所在的司法管轄區會容許這類攻擊,只要他們的攻擊對象是「敵對」國家就沒問題。
所以結論是,我們必須削弱企業支付贖金的動機。網路保險產業已經開始採取行動,法國跨國保險集團 AXA 最近據稱已經停止對法國客戶支付勒索贖金理賠。此外,我們希望保險業者應更明確規範投保人現有的資安措施,如此將有助於全面提升整體的資安情勢。
就目前而言,拿掉稅務減免或許是政府可採取的一項快速行動,因為這類減免只會變相鼓勵企業支付贖金,反而讓勒索病毒威脅更難根除。但光這樣還不夠,企業還需要提升其威脅偵測及回應能力,但這至少是個開始。
原文出處:Are Tax Breaks Encouraging Ransom Payments 作者:Jon Clay