Được rồi, nghe tôi nói này. Trong những năm 1960 và 70, Anh bắt đầu phát triển chính sách không đàm phán nhằm ứng phó với số vụ ngày càng tăng các vụ khủng bố chủ yếu từ Bắc Ireland; mặc dù một ví dụ khác nổi tiếng hơn về việc không đàm phán là vụ bao vây Đại sứ quán Iran năm 1980. Ở Mỹ, quan điểm này bắt đầu được ủng hộ vào những năm 1970 và 1980, một lần nữa đối với Trung Đông, các nguồn tin lại bị chia rẽ về việc liệu Tổng thống Richard Nixon hay Jimmy Carter lần đầu tiên chính thức sử dụng câu nói nổi tiếng “Chúng tôi không đàm phán với những kẻ khủng bố”.
Soundbite nổi tiếng và thường được trích dẫn này hoạt động vì nó mạnh mẽ, rõ ràng, dứt khoát và dường như có lập trường nguyên tắc. Tuy nhiên, thực tế là cả Anh và Mỹ đều đàm phán… khi điều đó phù hợp với họ. Hơn nữa, lối hùng biện này đã dẫn đến việc bỏ lỡ những cơ hội, mất mạng và đạo đức giả. Một trong những ví dụ rõ ràng nhất về việc đàm phán với các nhóm khủng bố được xác định đã dẫn đến kết quả tích cực là Thỏa thuận Thứ Sáu Tuần Thánh năm 1998 được ký kết giữa chính phủ Anh và Ireland cùng 8 đảng hoặc nhóm chính trị từ Bắc Ireland, sau các cuộc đàm phán nhiều bên. Chính phủ Hoa Kỳ, với thượng nghị sĩ George Mitchell làm chủ tọa cuộc đàm phán, cũng đóng một vai trò quan trọng trong việc làm trung gian cho thỏa thuận. Thỏa thuận này dẫn đến một hội đồng chia sẻ quyền lực để cai trị Bắc Ireland và mở đường cho các nhóm bán quân sự ngừng sử dụng vũ khí của họ.
Để biết ví dụ về việc đàm phán và không đàm phán có những kết quả hoàn toàn khác nhau, chúng ta không cần nhìn xa hơn số phận của các con tin bị các thành viên khét tiếng của ISIS có biệt danh là “The Beatles” bắt giữ. Mặc dù chắc chắn là tàn bạo và phạm tội hành quyết các nhà báo và nhân viên cứu trợ người Anh và Mỹ, nhóm này đã thả tất cả những người bị giam giữ phương Tây khác sau các cuộc đàm phán và đổi lấy một khoản tiền mặt lớn.
Việc trả tiền chuộc có khuyến khích tội phạm không?
Một trong những lập luận chính về việc không trả tiền chuộc, hoặc thậm chí không thương lượng, là những hoạt động như vậy khuyến khích tội phạm; từ đó góp phần vào sự tăng trưởng của nó. Trong cuốn sách của mình, Chúng tôi muốn đàm phán: Thế giới bí mật của vụ bắt cóc, con tin và tiền chuộc, Joel Simon nghiên cứu sâu hơn rất nhiều về chính sách không nhượng bộ và việc tuân thủ chính sách đó, thay vì bảo vệ mọi người bằng cách loại bỏ chính sách khuyến khích đó, thực sự khiến họ có nguy cơ bị tổn hại cao hơn. Tóm lại, chính sách không nhượng bộ lâu nay không ngăn được việc con tin Anh và Mỹ bị bắt mà chỉ dẫn đến cái chết của họ.
Gần đây đã có thêm những lời kêu gọi coi việc thanh toán bằng ransomware là bất hợp pháp. Một lần nữa, tiền đề của lập luận là việc trả tiền chuộc sẽ khuyến khích sự phát triển của hệ sinh thái ransomware. Với những điểm trước đó, cần xem xét câu hỏi chính: Bạn có nghĩ rằng nếu một hacker không còn động cơ tài chính để hack thì họ sẽ ngừng hack không?
Nếu câu trả lời của bạn là không thì cần phải tìm ra một cơ chế khác. Nếu câu trả lời của bạn là có thì bạn có thể ngạc nhiên khi biết rằng thực tế đã có luật cấm thanh toán tiền chuộc và ransomware đối với cả các tổ chức ở Vương quốc Anh và Hoa Kỳ. Tại Hoa Kỳ, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính có quy định cấm các giao dịch, bao gồm cả việc thanh toán tiền chuộc, cho các cá nhân hoặc tổ chức trong Danh sách Quốc gia bị Chỉ định Đặc biệt (SDN). OFAC đã đưa ra lời khuyên vào tháng 10 năm 2020, đặc biệt giải quyết các khoản thanh toán bằng ransomware. Nó cảnh báo rằng việc thanh toán cho cá nhân hoặc tổ chức bị trừng phạt có thể dẫn đến các hình phạt dân sự theo luật Hoa Kỳ, bất kể người trả tiền có biết hay lẽ ra phải biết rằng họ đang tham gia vào một giao dịch bị cấm hay không. Tại Vương quốc Anh, Quy định trừng phạt mạng (Xuất cảnh khỏi EU) năm 2020 có hiệu lực vào cuối năm 2020 và cấm giao dịch với những người được chỉ định có liên quan đến tội phạm mạng. Điều này bao gồm các khoản thanh toán tiền chuộc cho những kẻ tấn công ransomware. Việc không tuân thủ có thể dẫn đến hình phạt hình sự, bao gồm phạt tù hoặc phạt tiền. Cho đến nay, tôi chưa tìm thấy trường hợp nào có người bị truy tố vì trả tiền chuộc cho con người hoặc để phục hồi/bảo vệ dữ liệu, điều này đã đặt ra tiền lệ.
Những hạn chế của việc thanh toán tiền chuộc bất hợp pháp
Việc thực hiện thanh toán ransomware bất hợp pháp cũng có thêm những tác động tiêu cực. Có khả năng số lượng báo cáo về sự cố sẽ giảm, có khả năng khiến chủ thể dữ liệu gặp phải những rủi ro mà họ không nhận thức được. Nó hình sự hóa các tổ chức nạn nhân, có khả năng khiến họ phải chịu thêm các khoản tiền phạt ngoài khoản thanh toán, bất kỳ khoản tiền phạt hoặc biện pháp trừng phạt nào từ các cơ quan quản lý cũng như chi phí điều tra, phục hồi và phí pháp lý, v.v. Nhưng quan trọng nhất đối với tôi với tư cách là người ứng phó sự cố, nó loại bỏ một công cụ có giá trị khỏi kho vũ khí của chúng tôi. Nếu những kẻ đe dọa biết rằng các tổ chức không thể trả tiền chuộc thì họ sẽ không có động cơ thương lượng. Đàm phán không chỉ là giải quyết một mức giá. Thật vậy, đàm phán không nhất thiết phải dẫn đến thanh toán. Nó có thể được sử dụng như một cơ chế để thu thập thông tin tình báo về tác nhân đe dọa, sự xâm nhập, thời lượng, quyền truy cập dữ liệu và như một cơ chế trì hoãn để giúp các tổ chức có thời gian điều tra, diệt trừ, khắc phục và phục hồi.
Dù có hiệu quả hay không, mục tiêu tổng thể của các đề xuất khiến việc trả tiền chuộc trở thành bất hợp pháp là nhằm giảm số lượng và tác động của các cuộc tấn công mạng. Nhưng có cả một ngành an ninh mạng đang cố gắng đạt được mục tiêu tương tự. Đề xuất chỉ là một đòn bẩy, không liên quan đến kỹ thuật, không liên quan đến bảo mật, đang tập trung vào vấn đề quá muộn trong trò chơi. Không ai nghĩ rằng họ sẽ trả tiền chuộc, vì họ không coi đó là việc họ phải giải quyết nên họ không quan tâm liệu nó có vi phạm pháp luật hay không. Các biện pháp trừng phạt chỉ đánh vào các công ty ở dòng cuối cùng của bảng cân đối kế toán, đó là nơi mà c-Suite thấy cái giá phải trả cho an ninh mạng chứ không phải ảnh hưởng đến các cá nhân bị ảnh hưởng bởi nó.
Một số người đã bình luận rằng giáo dục và đào tạo rõ ràng không được người dùng tiếp cận và các giải pháp bảo mật đang thiếu hụt. Tuy nhiên, cả hai điều này thực sự là một phần của văn hóa công ty. Nếu những điều này không thành công thì đó là do sự thất bại trong văn hóa công ty. Và văn hóa bắt đầu từ trên xuống.
Làm thế nào để cải thiện văn hóa công ty
Vậy thì giải pháp là gì? Chà, không có một thứ nào có thể giải quyết được tất cả, nhưng đây là ba điểm mà tôi tin rằng có thể di chuyển kim chỉ nam theo hướng tích cực:
Thay đổi văn hóa công ty bằng cách đưa an ninh mạng thoát khỏi việc chỉ là một con số trên bảng tính: Giao và giữ các giám đốc điều hành hội đồng quản trị và c-suite chịu trách nhiệm đảm bảo tính bảo mật của dữ liệu thông qua các khoản phạt cá nhân, chặn tiền thưởng, ngăn họ giữ một mức độ giữ chức vụ trong một thời gian, thậm chí bị phạt tù. Hơn nữa, điều này phải bao gồm một khoảng thời gian thu hồi, một khoảng thời gian mà trong đó, nếu tổ chức mà họ giữ vị trí đó bị ảnh hưởng bởi sự cố mạng, họ có thể bị phạt hoặc phải chịu trách nhiệm và chịu trách nhiệm. Việc yêu cầu cá nhân giám đốc điều hành đầu tư vào tính bảo mật của dữ liệu do tổ chức nắm giữ sẽ thay đổi văn hóa trong tổ chức.
Tránh xa việc tham gia vào các tác nhân đe dọa. Bạn không chỉ có thể nói chuyện với những người bạn thích và những người đồng ý với bạn. Làm như vậy sẽ khiến bạn khép kín với một cái nhìn rất phân cực và ít hiểu biết và giáo dục hơn những gì bạn có thể có. Đây không phải là một vị trí tuyệt vời để có được trong thời kỳ khủng hoảng. Trong cuốn sách của mình, Không bao giờ chia sự khác biệt, Chris Voss – cựu nhà đàm phán con tin quốc tế chính của FBI (chức danh công việc thực sự cho thấy rằng Hoa Kỳ đàm phán với những kẻ khủng bố) trích dẫn nhiều trường hợp trong đó việc đàm phán đã dẫn đến kết quả có lợi cho bên mà đối thủ dường như nắm giữ mọi quân bài; nơi các cuộc đàm phán dẫn đến việc thu thập thông tin tình báo và ngăn chặn tội phạm có tổ chức trên diện rộng; nơi mà chỉ cần được lắng nghe, hay đúng hơn là được lắng nghe, đã khiến những kẻ bắt giữ con tin từ bỏ mục tiêu ban đầu của mình.
Nhắm mục tiêu theo dõi tiền
Cuối cùng, nếu bạn thực sự muốn nhắm mục tiêu vào hệ thống tài chính của những kẻ đe dọa, hãy khiến những kẻ đe dọa gặp khó khăn hơn trong việc sử dụng/chi tiêu tài sản tiền điện tử mà họ nhận được. Chuỗi khối là một sổ cái mở nơi giao dịch có thể được theo dõi và các ví được quy cho các nhóm đe dọa. Khái niệm bằng chứng không có kiến thức (ZKP) có thể được sử dụng trong một hệ thống để theo dõi và đánh giá độ tin cậy của các giao dịch tiền điện tử. Các cơ quan thực thi pháp luật hoặc các công ty an ninh mạng có thể duy trì cơ sở dữ liệu về các ví xấu đã biết có liên quan đến tội phạm mạng và phần mềm tống tiền. Mỗi giao dịch có thể được tính điểm dựa trên việc nó có liên quan đến những ví xấu này hay không. Chẳng hạn, một giao dịch chỉ liên quan đến ví tốt đã biết sẽ có điểm cao, trong khi giao dịch liên quan đến ví xấu đã biết sẽ có điểm thấp. Theo thời gian, ví mới hoặc ví khác có thể được chỉ định điểm đáng tin cậy dựa trên điểm số giao dịch của chúng.
Thay vì tiết lộ công khai ví nào là xấu, các tổ chức này có thể sử dụng ZKP để chứng minh rằng họ biết ví là xấu mà không tiết lộ cái gì, tại sao hoặc làm thế nào họ biết. Điều này duy trì mức độ riêng tư của chủ sở hữu ví, cũng như trí thông minh của tổ chức, trong khi vẫn cho phép ghi điểm các giao dịch. Cách tiếp cận này, mặc dù là một sổ cái đóng, nhưng cũng khiến các tác nhân đe dọa khó cố gắng thao túng sổ cái hoặc ghi điểm hơn.
Hệ thống này có thể giúp ngăn cản các giao dịch với các ví xấu đã biết và khuyến khích các giao dịch với các ví tốt đã biết. Giải pháp như vậy sẽ yêu cầu thiết kế và giám sát cẩn thận để đảm bảo nó không bị lạm dụng hoặc thao túng và đảm bảo nó tôn trọng quyền riêng tư, nhưng cũng có thể giúp áp dụng tiền điện tử phi tập trung cho các mục đích hợp pháp.
Mark Cunningham-Dickie là cố vấn ứng phó sự cố chính của Quorum Cyber. Ông có hơn 20 năm kinh nghiệm trong ngành công nghệ, trong đó có hơn 10 năm đảm nhiệm vai trò kỹ thuật cho cơ quan thực thi pháp luật và các tổ chức khác do chính phủ tài trợ. Mark có bằng Thạc sĩ về bảo mật nâng cao và pháp y kỹ thuật số và bằng Cử nhân (Hons) về khoa học máy tính.