美国应对勒索软件的警觉与政策建议
关键要点
- 美国政府需要意识到勒索软件问题的严重性,不应等到再次发生重大袭击。
- 应扩大关于勒索赎金和相关数据的事件报告,并为中小企业提供税收减免。
- 三个主要因素加剧了勒索软件问题:安全性差的组织、缺乏监管的加密货币,以及在敌对国家运作的犯罪组织。
根据大西洋理事会的网络行动计划的一份报告,勒索软件已经成为一个非常严峻的问题。美国政府不应再等待像2021年的ColonialPipeline袭击那样的重大事件而认识到这一点。报告指出,尽管勒索软件在未来几十年仍将困扰美国和其他国家,但政策制定者应扩大关于勒索支付和其他数据的事件报告,并为大多数受害者中的中小企业提供有针对性的税收减免。
这份于周二发布,研究人员采访了55位有关勒索软件、网络犯罪和执法的专家。报告中指出,在2018年到2020年间,平均勒索支付金额从不到6,000美元增加到nearly240,000美元,而中位数支付额则超过了100,000美元。
报告的开头总结道:“不应再等到像Colonial Pipeline攻击那样的震惊事件,才让美国政府意识到勒索软件已经失控。现在是投资更安全未来的时候了。”
揭示勒索软件问题的三大因素
这项研究强调了推动勒索软件问题的三个因素,长期观察者对此并不会感到意外:
- 许多组织——尤其是中小企业——安全程序薄弱,给勒索软件攻击者提供了许多容易的目标。
- 缺乏监管的加密货币的兴起,使得犯罪团伙能够快速且(伪)匿名地收款。
- 这些组织越来越多地利用来自敌对或对美国和西方执法不屑一顾的国家的保护。调查显示,2021年约有四分之三的勒索支付流向了与莫斯科相关的组织。
年份 | 平均勒索金 | 中位数支付
—|—|—
2018 | <6,000美元 | –
2020 | 240,000美元 | >100,000美元
任何进一步对加密货币的监管努力都可能需要俄罗斯或中国的合作,而这两个国家都具有地缘政治或金融原因来破坏或妨碍任何美国主导的努力。
针对政策制定者的建议
报告对政策制定者提出了三项主要建议:国会应将关于勒索软件的事件报告义务扩展到所有美国实体,而不仅仅是关键基础设施或已受到CISA或SEC监管的上市公司。这些要求至少应包括支付金额的大小和日期,以及交易的发送和接收地址。
与关键基础设施或上市公司不同,私人企业、非营利组织和其他某些领域与公众利益之间的关系并不那么明确。因此,如果国会考虑将这些实体纳入勒索软件事件报告,可能需要“大量让步”。
其他建议还呼吁政策制定者为中小企业提供税收减免。这些企业最可能是勒索软件的受害者,且往往会在安全方面投入不足。建议的税收减免可以与实施已知的基本最佳实践挂钩,这些做法能够减少勒索软件风险,例如:备份数据、实施多因素认证和制定主动的事件响应计划。
结论
虽然这份报告没有涉及对加密货币的进一步监管,但它强调了许多复杂性和意想不到的后果。尽管一些公司如Chainalysis在监控区块链上的赎金支付方面取得了一定成功,但进一步的监管可能不会成为主要解决方案。
在与勒索软件谈判者、受害者和执法官员的访谈中,研究人员认识到,即使在加密货币领域,进一步的监管或干预也不一定会奏效,因为执法行为可能使受害者更不愿意合作。
这份报告不仅提供了重要的见解,还为政策制定者提供了切实的建议,
