(JY編譯)聯邦調查局(FBI)的一名高級官員周二(27日)建議參議院司法委員會成員,不要禁止企業向黑客支付勒索軟件攻擊的贖金,勒索軟件攻擊事件最近幾個月已成為國家安全問題。
「我們認為,禁止支付勒索軟件贖金並不是解決之道,」聯邦調查局網絡部助理主任布萊恩·沃恩德蘭 (Bryan Vorndran)在回答民主黨參議員梅姬·廣野(Mazie Hirono,夏威夷州)的提問時說。
沃恩德蘭強調,這是由於勒索軟件攻擊越來越複雜,許多網絡犯罪分子不僅會加密公司的網絡和要求贖金,而且還會竊取公司的數據,以便企業將攻擊事件報告給政府時,進行多一次敲詐勒索。這可能導致企業不將黑客攻擊報告給政府。
沃恩德蘭在參議院司法委員會關於勒索軟件的聽證會上指出,FBI 估計「25% 到 35%」的勒索軟體攻擊事件沒有報告給聯邦執法部門,這使得 FBI 和其他機構難以全面評估事件的範圍並做出相應的反應。
美國特勤局調查辦公室(U.S. Secret Service’s Office of Investigations)助理主任傑里米·謝里丹(Jeremy Sherida)向委員會作證說,禁止支付勒索軟件只會降低報告率。
聽證會是在數月來不斷升級的網絡攻擊之後召開的,其中包括 5 月份對提供東海岸 45% 燃料的汽油分銷商 Colonial Pipeline 和肉類生產商 JBS USA 的巨額勒索軟件攻擊事件。兩家公司都選擇支付黑客要求的贖金。其中司法部能夠追回 Colonial Pipeline 支付給與俄羅斯有關聯的黑客組織「黑暗面」(Darkside)的大部分資金。雖然 Colonial Pipeline 和 JBS 都向攻擊背後的黑客支付了贖金,但許多公司沒有這樣做,導致業務中斷數週甚至數月。
其後,眾議院和參議院一直在認真考慮立法為某些組別制定強制性報告網絡攻擊事件的想法。除了三名參議院情報委員會成員外,上週所有成員都提出了一項兩黨法案,該法案將要求聯邦機構、聯邦承包商和對國家安全至關重要的團體在其網絡安全被入侵後,24小時內需向政府報告。沃恩德蘭和其他證人周二主張將此類立法簽署為法律,以反擊勒索軟件攻擊和其他網絡安全事件。
該場聽證會說明了政策制定者在尋求打擊勒索軟件攻擊面臨的、更廣泛的挑戰。有網絡安全專家說,企業為了快速解決問題寧可支付贖金,也想從備份中恢復數據,也不願冒著黑客在線發布敏感信息的風險。
雖然政府官員試圖阻止勒索軟件受害者付贖金,但一直沒有找到有效的方法來阻止這種行為。美國財政部規定,向受美國政府制裁的實體發送勒索軟件贖金可能視為違法,但該限制不適用於未受制裁的收款人。
Colonial Pipeline表示,公司仔細研究了向犯罪集團 DarkSide 支付的 440 萬美元贖金是否會觸犯財政部的警告——這表明受害公司有動機想辦法用錢解決問題。
今年 4 月,安全與技術研究所(Institute for Security and Technology)發布了一份由政府官員、網絡安全專家和企業組成的勒索軟件工作組(Ransomware Task Force)撰寫的報告,該報告沒有就是否禁止勒索軟件支付提出具體建議。這是報告中唯一沒有給出具體建議的問題。
在周二接受美國有線電視新聞網(CNN)採訪時,運輸安全管理局局長大衛·佩科斯克(David Pekoske)表示,支付贖金應該是「在政府指導下的商業和安全決定」。
TSA 對地面運輸行業擁有獨有的管轄權,包括天然氣和危險液體管道。他說,在對 Colonial Pipeline 的網絡攻擊之後,該機構發布了兩項安全指令,迫使美國最關鍵管道的所有者和運營商遵守網絡安全緩解措施,但不包括禁止支付贖金。佩科斯克敦促企業應加大網絡安全投資力度。
司法部希望國會介入,為勒索事件注入一些透明度。司法部助理檢察長理查德·唐寧(Richard Downing)表示,企業應該向美國政府披露涉及勒索軟件、關鍵基礎設施或「其他影響較大的違規行為」的網絡攻擊事件。