Die afgelope jaar het twee wetgewende voorstelle in die VK gesien wat gefokus het op die kwessie van losprysware-betalings deur Britse besighede. Hierdie fokus van die VK-regering kan 'n verskuiwing in die rigting van die verbod op sulke betalings aandui, of besighede voor moeilike keuses laat te staan. Dan Raywood ondersoek die besonderhede.
Verlede jaar het die Britse regering 'n optrede teen kubermisdadigers begin met voorgestelde wetgewing dit sou die betaling van 'n losprys onwettig maak vir sekere sektore. Spesifiek, openbare sektorliggame en operateurs van kritieke nasionale infrastruktuur – insluitend die NHS, plaaslike rade en skole – sou verbied word om lospryse te betaal. Ander besighede wat nie deur die verbod gedek word nie, sou die regering in kennis moet stel van enige voorneme om te betaal.
Die minister van veiligheid, Dan Jarvis, het gesê die voorstel is daarop gemik om “die kubermisdadiger se sakemodel te vernietig” en noodsaaklike dienste te beskerm. Deur met die bedryf saam te werk, het hy gesê, “stuur ons 'n duidelike sein dat die VK verenig is in die stryd teen losprysware.”
Daardie konsultasie het 12 weke geduur (van 14 Januarie tot 8 April 2025) en het voorgestel:
- 'n Gerigte verbod op ransomware-betalings vir gereguleerde kritieke nasionale infrastruktuur en die openbare sektor.
- 'n Ransomware-betalingvoorkomingsregime.
- 'n Verpligte voorvalrapporteringsregime.
Hierdie maatreëls sou die eerste spesifieke Britse wetgewing verteenwoordig wat ontwerp is om ransomware teen te werk, met die sentrale doel om openbare dienste en kritieke infrastruktuur teen ontwrigting te beskerm.
Crystal Morin, senior kuberveiligheidsstrateeg by Sysdig, het kommentaar gelewer dat die verbetering van ransomware-voorvalrapportering nie 'n impulsiewe reaksie is nie, maar 'n strategiese aanpassing aan 'n vinnig ontwikkelende bedreigingslandskap.
“Hoëprofielvoorvalle oor die afgelope jaar het gedemonstreer hoe ransomware kritieke dienste kan ontwrig en die alledaagse lewe kan beïnvloed,” het sy gesê. “Hierdie gebeure toon dat kuberaanvalle, hoe geïsoleerd hulle ook al mag lyk, werklike risiko's vir nasionale veiligheid en openbare welstand inhou.”
Positiewe reaksie
Konsultant en beleidspesialis Jen Ellis merk die "oorweldigend positiewe reaksie" op die regeringskonsultasie oor die idee van 'n verbod op. Sy stel voor dat dit deels is omdat maatskappye kliënte wil kan vertel dat hulle wettiglik nie in staat is om 'n losprys te betaal nie en bloot die wet volg.
Sy wys ook daarop dat sommige glo dat losprysware suiwer winsgedrewe is en dat die verwydering van die winsmotief die misdaad sal uitskakel. Dit kyk egter oor die hoof faktore soos die betrokkenheid van georganiseerde misdaadgroepe wat gekoppel is aan meer gewelddadige aktiwiteite, insluitend handel.
“Dit hou nie rekening met die omvang van die geld wat gemaak word of die gebrek aan effektiewe afdwinging nie,” sê Ellis. “Aanvallers werk straffeloos en kan die mees kwesbare organisasies teen min koste vir hulself teiken.”
“Dit ignoreer ook die feit dat ons op 'n globale internet werk. 'n Verbod in die VK beskerm nie organisasies teen aktiwiteite wat elders plaasvind nie.”
Nuwe Faktor
Terwyl die konsultasie op sy volgende fase wag, het 'n verdere ontwikkeling in Oktober na vore gekom toe LP Bradley Thomas 'n privaat lid se rekening in 2025. Die wetsontwerp sal vereis dat maatskappye wat aan spesifieke kriteria voldoen, enige kuberafpersing of losprysware-aanval binne 'n bepaalde tydsbestek aan die regering moet rapporteer.
Met die bekendstelling van die wetsontwerp het Thomas opgemerk dat daar tans geen vereiste is vir maatskappye om bekend te maak wanneer 'n losprysbetaling gemaak is nie, ten spyte van die finansiële las wat sulke betalings oplê. Sy voorstel sal vereis dat enige maatskappy wat geregistreer is onder die Maatskappywet 2006 met 'n jaarlikse omset van meer as £25 miljoen – of verantwoordelikheid vir kritieke nasionale infrastruktuur – die regering binne 72 uur nadat hulle 'n slagoffer geword het, in kennis stel.
'n Verdere verslag sal vereis word indien enige betaling deur die maatskappy of 'n derde party namens hulle gemaak word, weer binne 72 uur. Thomas het kommer oor reputasieskade erken, maar gesê robuuste wetlike beskerming sal verseker dat verslae vertroulik bly tensy openbaarmaking in nasionale belang geag word.
“Die afwesigheid van verpligte rapportering, veral vir losprysbetalings, laat 'n gevaarlike blindekol in ons nasionale veiligheid,” het hy gesê. “Wanneer maatskappye hierdie betalings rapporteer, verkry ons veiligheidsagentskappe noodsaaklike intelligensie oor wie geteiken word en hoe aanvalle ontwikkel.”
Morin het gesê verpligte rapportering gaan nie daaroor om organisasies te beskaam nie, maar om kollektiewe verdediging te versterk. “Wanneer organisasies voorvalle rapporteer, kry sekuriteitspanne insig in opkomende taktieke en kwesbaarhede, wat hulle in staat stel om vinniger te reageer en groter skade te voorkom.”
Sy het bygevoeg dat hoewel reputasievrese verstaanbaar is, die voorgestelde raamwerk voorsorgmaatreëls insluit om openbaarmaking tot uitsonderlike gevalle te beperk. “’n Verpligte maar ‘skaamtevrye’ rapporteringstelsel erken hierdie werklikheid.”
Afskrikking van losprysware-aanvalle
Ellis het na die voorstelle gekyk en aan ISMS.online gesê sy glo nie dat 'n landwye betalingsverbod aanvalle noemenswaardig sal afskrik nie. “Die meeste slagoffers word opportunisties aangeval omdat hulle aan die internet gekoppel is. Infeksies gebeur net.”
“Ek dink nie ’n betalingsverbod sal effektief wees tensy dit wêreldwyd is nie,” het sy gesê. “Aanvallers sal aanpas.”
Oor rapportering het Ellis gesê die sleutel is om openbaarmaking te normaliseer. “Ons moet die angel uit rapportering haal en ons begrip van wat gebeur, verbeter. Ons kan dit nie doen as mense nie rapporteer nie.”
“Verslagdoening sal nie die probleem oplos nie, maar dit sal ons 'n beter idee gee van die werklike omvang daarvan.”
Oor die vraag of besighede steeds in die geheim sou betaal as 'n verbod ingestel word, het Ellis gesê dit is moeilik om te voorspel. Sy het met sake-eienaars gepraat wat glo dat hulle geen keuse sou hê as hulle met 'n eksistensiële bedreiging te kampe het nie.
Sy het ook die potensiële impak op kuberversekering uitgelig. “As betaling onwettig is, sal versekering dit nie dek nie. In plaas daarvan sal versekeraars die herstelkoste moet dek, wat hulle kan laat eis om sterker veerkragtigheidsmaatreëls te eis.”
Thomas se wetsontwerp moet in Mei vir die tweede lesing plaasvind, en beide voorstelle is daarop gemik om losprysbetalings te beperk. Vir besighede waar betaling die enigste opsie blyk te wees, kan alternatiewe egter beperk wees.
Navorsing van Sophos in 2025 het bevind dat byna 50% van maatskappye 'n losprys betaal het om hul data te herwin. Nog 'n voorstel poog om veerkragtigheidsstandaarde vir Britse besighede te verbeter.
Uiteindelik blyk die meeste belanghebbendes die verslagdoeningsvereistes te ondersteun, maar die vraag of daar betaal moet word, sal meer kompleks word onder 'n wetlike mandaat. Nou is dit die tyd vir organisasies om veerkragtigheid te versterk en te besluit of hulle kan oorleef sonder om hul pad uit kubermisdaad te koop.
