Trở lại năm 2015, tôi và nhóm của tôi đã phát biểu tại sự kiện An ninh & Chính sách của chính phủ ở Farnborough. Chúng tôi đã có một cuộc trò chuyện thú vị với một vị khách đến từ Bộ Nội vụ về tính hợp pháp liên tục của việc trả tiền phạt ransomware và thực tế, vào thời điểm đó, có rất ít hoặc không có hướng dẫn nào từ chính phủ.
Điều đó hoàn toàn trái ngược với các hướng dẫn về trả tiền chuộc vật chất, vốn trước đây và vẫn cho rằng khoản thanh toán đó là bất hợp pháp.
Điều này có vẻ phi logic đối với chúng tôi khi chúng tôi dành thời gian nói về mối liên kết giữa mọi thứ (cảm ơn Douglas Adams và Dirk Nhẹ nhàng) và tác động của tất cả các loại phần mềm độc hại đối với hệ sinh thái kinh doanh, xã hội và sức khỏe của con người. Vậy thì làm thế nào việc trả tiền hoặc bảo hiểm trong trường hợp đòi tiền chuộc có thể là bất hợp pháp?
Chính phủ vào thời điểm đó đang bận rộn thắt chặt các lỗ hổng bảo hiểm về tiền chuộc con người, nhưng việc trả tiền chuộc mạng vẫn hoàn toàn hợp pháp, để tài trợ hiệu quả cho bọn tội phạm đang tham gia vào hoạt động kinh doanh bòn rút tiền từ các doanh nghiệp hợp pháp, cơ quan công quyền và thậm chí cả các tổ chức từ thiện trong theo cách hoài nghi nhất, những kẻ sử dụng số tiền đó để xây dựng phần mềm ransomware thậm chí còn hiệu quả hơn nhằm tấn công mọi người một cách hiệu quả hơn nữa. Và vòng tròn tiếp tục.
Nếu bạn không chắc chắn về tuyên bố đó thì hãy nhìn vào mức tăng giá trung bình của một khoản tiền chuộc trong 10 năm qua và bạn sẽ thấy rằng những tên tội phạm này đã lập kế hoạch kinh doanh của chúng một cách tỉ mỉ và có thể nhắm mục tiêu vào các trung tâm dân cư lớn, tác động đến các dịch vụ công cộng và các doanh nghiệp lớn để đòi số tiền chuộc cao hơn nhiều so với sự khởi đầu khiêm tốn của việc cố gắng tống tiền các cá nhân. Các nhóm đòi tiền chuộc đã mài giũa phần mềm, khả năng phân phối và mục tiêu của chúng để nhận được khoản thanh toán tối đa.
Điều thú vị là phương thức tấn công chính vẫn là lừa đảo. Chúng ta đã đi được một chặng đường dài từ virus ILOVEYOU hứa hẹn tình yêu và sự quan tâm 24 năm trước, nhưng theo một cách khác, chúng ta chưa làm được điều đó. Chúng tôi dễ bị tấn công bởi phần lớn phần mềm ransomware vì phương thức phân phối này đã rất thành công trong một thời gian dài. Chắc chắn mức độ bất cẩn này sẽ không được dung thứ trong việc đòi tiền chuộc vật chất? Việc thiếu đào tạo hoặc nhận thức được phép tiếp tục? Tiền chuộc chỉ được coi là chi phí kinh doanh?
Tất nhiên là không, nhưng chúng ta đang nói về một loại tội phạm mà chúng ta, với tư cách là một xã hội, đã phải vật lộn trong một thời gian dài. Và một tội ác bằng cách nào đó đã được coi là bán hợp pháp và là một chi phí hợp lý để kinh doanh. Điều này có lẽ một phần là do ngôn ngữ được sử dụng. Có lẽ đã đến lúc phải giải quyết lại vấn đề đó và ngừng gọi nó là ransomware và bắt đầu gọi nó là tống tiền và tống tiền, thực chất nó là như vậy.
Chúng ta không chỉ cần suy nghĩ về tính hợp pháp của việc trả tiền chuộc kỹ thuật số mà còn cả cách chúng ta lập pháp và trừng phạt những kẻ thực hiện việc đó. Các băng đảng đang kiếm được số tiền khổng lồ như vậy, theo tôi, chúng ta đang bước vào một thời kỳ đầy rủi ro vì kẻ xấu hiện nay thường được tài trợ tốt hơn nhiều so với người tốt. Cách chúng ta thực hiện đúng đắn bây giờ cần có tầm nhìn, sự cam kết và kiến thức.