加强打击勒索软件 英政府下令禁付赎金

为加强打击勒索软体网路犯罪、防止赎金成为壮大其他犯罪活动的资本,英国政府拟导入强制通报机制,并将“禁付赎金”规定,由中央政府部会扩大至其他公共服务和关键基础设施,违规者不排除将遭刑事处分。
勒索软体网路犯罪日益猖獗,犯罪者要求的赎金也屡创新高。区块链分析公司Chainalysis去年曾估计,2023年全球各地受害者总计付出约11亿美元赎金,几乎是2022年5亿6700万美元的2倍。
英国政府拟实施相关新制、加强打击和预防犯罪,星期二(1月14日)启动为期约3个月的公共谘询程序,并公布政府提案与谘询细节。
英国已禁止中央政府部会向骇客支付赎金,以削弱骇客犯罪诱因,内政部则规画扩大实施禁令,将所有公共服务部门、地方政府,以及国家关键基础设施(CNI)的持有者和营运者纳入适用对象。
隶属英国对内情报机关军情五处(MI5)的国家安全保护局(NPSA)列举13大CNI领域,包括交通运输、卫生医疗、金融、能源、紧急服务、通讯、水、食品、化学、太空、政府、国防、民用核能。
一旦内政部的提案得以落实,国民保健署(NHS)等机构未来也不得向骇客支付赎金。
为新法做公众征询
英国内政部正徵询公共意见,包括相关公共服务部门及关键基础设施的重要供应商是否也该列入禁付赎金实施对象,以及可能的刑事或民事罚则。
此外,为强化情资蒐集及相关执法和情报单位的“打击犯罪共同图像”,英国内政部拟规范所有勒索软体被害人(无论职业或服务单位),在支付赎金以前强制向相关机关通报。
此外,内政部拟设定具体风险门槛,要求潜在被害人在遭遇特定情况时务必向相关单位通报。
根据提案,被害人通报后将获必要指引和支援,相关单位将检视是否有必要强制禁止被害人支付赎金,理由包括有迹象显示,赎金恐用于资助恐怖主义活动、或流向已名列制裁清单的个人或实体。
若相关单位未裁决强制禁止支付赎金,则被害人可自行权衡利弊、评估风险成本,自主决定是否满足骇客要求,尽管英国情报和执法机关已示警,支付赎金无法保证犯罪者必定落实对被害人的承诺,例如绝不外泄遭盗取的资料。
然而,一旦相关单位裁决有必要强制禁止支付赎金,但被害人依然决定付钱了事,则根据内政部提案,被害人不排除将遭刑事处分。