新法案尋求強制披露勒索軟件付款

本週提出了一項新的美國立法法案,作為兩院制的努力,由參議員伊麗莎白沃倫和眾議員黛博拉羅斯提出。該立法提案被稱為"贖金披露法",引起了不小的轟動。

該法案旨在使部分勒索軟件受害者的信息披露具有強制性、規範性和即時性。根據提議的更改,勒索軟件受害者需要披露向參與攻擊的威脅行為者支付的任何款項、黑客要求的金額以及贖金支付交易中使用的特定貨幣。

該法案被認為是了解勒索軟件攻擊的範圍和細節的急需工具,但一些人認為它是將勒索軟件受害者置於更緊張的境地並引起他們更多關注的一步。

雖然信息披露似乎是一件好事,儘管該法案沒有計劃將公司詳細信息從國土安全部生成的報告中包含在內,但據分析師稱,提交的數據仍然沒有得到適當的保護,免受披露要求的影響根據《信息自由法》以及其他可能的披露形式作出。

由於幾乎所有勒索軟件威脅行為者都採用了多種勒索手段,因此情況變得更加複雜。 勒索軟件團伙現在通常會威脅洩露大量洩露的敏感受害者信息,以防受害者與當局聯繫。如果該法案獲得通過,這將使勒索軟件受害者別無選擇,並且無疑會導致未來攻擊中敏感信息的嚴重洩露。

可以指出的是,法律不要求更常見的日常犯罪(例如入室盜竊)的受害者向警方報告犯罪行為。作為這一思路的延伸,一些人認為沒有從其網絡中洩露數據的勒索軟件受害者也不應該被迫報告攻擊。然而,在過去的幾個月裡,幾乎每一次勒索軟件攻擊都伴隨著數據竊取和洩露,因此這種可能性在現實中並不常見。勒索軟件數年來一直呈上升趨勢,有報導稱, 在 2020 年初開始的全球 Covid-19 大流行期間,勒索軟件攻擊增長了驚人的 72%。