美國擬立法 要求企業披露勒索軟體付款事件
科技產業資訊室 (iKnow) - May 發佈於 2021年10月8日
圖、美國擬立法 要求企業披露勒索軟體贖金金額
美國擬提勒索揭露法案(Ransom Disclosure Act),迫使美國企業在交易後48小時內披露任何勒索軟體付款。
由參議員Elizabeth Warren和眾議員Deborah Ross起草的兩院《勒索揭露法案Ransom Disclosure Act》,將要求公司和組織(不包含個人)向美國國土安全部(Department of Homeland Security)提供勒索軟體付款的資料,包括勒索支付加密貨幣的數量、類型及支付的金額。
該草案旨在加強美國政府對網路犯罪企業運作方式的瞭解,提高政府官員對勒索軟體威脅的全面認知。雖然贖金通常以比特幣支付,但安全專家表示,越來越多勒索軟體正轉向「匿名幣」(Privacy Coin),如Monero,使調查人員更難以追蹤贖金的去向。
該草案規劃要求國土安全部建立網站,供各組織自願報告贖金支付情況,並分享前一年的資訊,但不揭露不包括支付贖金實體的身分訊息。
參議員Elizabeth Warren表示,由於勒索軟體攻擊的數量激增,需要採取相關措施。2020年北美地區攻擊事件增加了158%,全球受害者支付了近3.5億美元的贖金,資料顯示,比2019年增長了300%以上。更重要的是,最近的研究發現,贖金支付僅占勒索軟體攻擊總成本的20%,企業的大部分損失在於生產力的流失和攻擊後的恢復。
美國缺乏追捕網路犯罪的關鍵訊息,新法案要求披露支付的贖金時,能夠瞭解網路犯罪從美國實體抽走了多少錢來資助不法企業,並幫助政府追捕犯罪不法分子。
這並不是美國為打擊勒索軟體而採取的唯一策略。 例如,上個月(2021.9),財政部在發現加密貨幣交易所Suex總交易量的40%以上與不良活動有關後,對Suex在贖金支付的作用發出制裁。也就是說,打擊勒索軟體不法行為,美國制裁俄羅斯Suex加密幣交易所,財政部警告美國公司,禁止美國人與其進行交易。
我國方面
為強化企業對資通安全風險的相關揭露,我國金管會擬修法明定公司應揭露資安風險對財業務影響及因應措施,以及若發生重大資通安全事件,應揭露所遭受的損失、可能影響等。(622字;圖1)
參考資料
A new US bill would force companies to disclose ransomware payments. Tech Crunch, 2021/10/7.
打擊勒索軟體 美國制裁俄羅斯Suex加密幣交易所。科技產業資訊室(iKnow),2021/9/23。
相關文章:
1. 打擊勒索軟體 美國制裁俄羅斯Suex加密幣交易所
2. 白宮召開資安高峰會 各產業領袖承諾投入強化資安
3. 值得關注4個新興勒索軟體組織
4. IDC:企業或組織44%會為勒索軟體支付贖金
5. Check Point:三重勒索、攻擊供應鏈及遠端網路攻擊持續增加
6. 趨勢科技:過去12個月內,84%的企業機構曾遭遇網路釣魚和勒索病毒威脅
--------------------------------------------------------------------------------------------------------------------------------------------