圖片來源: 

紐約州的兩名參議員Phil Boyle與David Carlucci在本月不約而同地提出了新法案,都是希望該州能夠立法禁止當地遭到勒索軟體攻擊的城鎮支付贖金。

其中,Boyle是在1月14日提出S7246,要求紐約州設立規模為500萬美元的網路安全強化基金,以用來升級地方政府的網路安全,但要求州政府或地方政府從2022年的1月起,便不得使用人民的納稅錢或政府基金來支付勒索軟體的贖金。Boyle認為,兩年應該足夠讓紐約州與當地的地方政府升級網路安全系統。

Carlucci則是在1月16日提出了S7289,該法案直接禁止任何的公營企業或政府單位支付勒索軟體的贖金。Carlucci說,光是在2019年,美國就有超過100個州或地方政府遭到勒索軟體攻擊,相關攻擊不僅讓這些機構的系統無法運作,還威脅要公布機密資訊,估計因勒索軟體攻擊所衍生的成本超過75億美元。

Carlucci指出,紐約奧爾巴尼(Albany)國際機場在去年12月底遭到勒索軟體攻擊時,支付了低於10萬美元的贖金以換回系統繼續運作,然而,若公營企業與政府單位支付贖金,將會激勵駭客,讓他們繼續採用同樣的方式快速賺錢,禁止公營企業與政府單位付款一來可維護納稅人的金錢,二來可避免鼓勵駭客。

其實在去年7月舉行的美國市長會議(US Conference of Mayors)中,來自全美城市的1,407位市長無異議地通過了一項決議,同意不支付贖金給勒索軟體駭客。然而,這項決議並無法律的約束力,之後遭到勒索軟體攻擊的城市,依然選擇了支付駭客贖金,使得美國媒體取笑這只是個無意義的非正式聲明。

儘管不論是FBI或是政府首長都希望受害者不要支付贖金,但目前看來並不容易。專門協助受害者與勒索軟體駭客協商的Coverware執行長Bill Siegel向ZDNet表示,紐約州的舉動也許會觸怒駭客,讓駭客發動更多的攻擊來測試州政府的決心,此外,假設被攻擊的是當地的市立醫院,且若支付贖金就能避免病患死亡,那麼該作何選擇?

資安專家認為,最終解決之道是強化政府機構的系統安全,且部署完善的備份與配套措施來因應潛在的攻擊風險。


Advertisement

更多 iThome相關內容