(JY编译)联邦调查局(FBI)的一名高级官员周二(27日)建议参议院司法委员会成员,不要禁止企业向黑客支付勒索软件攻击的赎金,勒索软件攻击事件最近几个月已成为国家安全问题。
「我们认为,禁止支付勒索软件赎金并不是解决之道,」联邦调查局网络部助理主任布莱恩·沃恩德兰 (Bryan Vorndran)在回答民主党参议员梅姬·广野(Mazie Hirono,夏威夷州)的提问时说。
沃恩德兰强调,这是由于勒索软件攻击越来越复杂,许多网络犯罪分子不仅会加密公司的网络和要求赎金,而且还会窃取公司的数据,以便企业将攻击事件报告给政府时,进行多一次敲诈勒索。这可能导致企业不将黑客攻击报告给政府。
沃恩德兰在参议院司法委员会关于勒索软件的听证会上指出,FBI 估计「25% 到 35%」的勒索软体攻击事件没有报告给联邦执法部门,这使得 FBI 和其他机构难以全面评估事件的范围并做出相应的反应。
美国特勤局调查办公室(U.S. Secret Service’s Office of Investigations)助理主任杰里米·谢里丹(Jeremy Sherida)向委员会作证说,禁止支付勒索软件只会降低报告率。
听证会是在数月来不断升级的网络攻击之后召开的,其中包括 5 月份对提供东海岸 45% 燃料的汽油分销商 Colonial Pipeline 和肉类生产商 JBS USA 的巨额勒索软件攻击事件。两家公司都选择支付黑客要求的赎金。其中司法部能够追回 Colonial Pipeline 支付给与俄罗斯有关联的黑客组织「黑暗面」(Darkside)的大部分资金。虽然 Colonial Pipeline 和 JBS 都向攻击背后的黑客支付了赎金,但许多公司没有这样做,导致业务中断数周甚至数月。
其后,众议院和参议院一直在认真考虑立法为某些组别制定强制性报告网络攻击事件的想法。除了三名参议院情报委员会成员外,上周所有成员都提出了一项两党法案,该法案将要求联邦机构、联邦承包商和对国家安全至关重要的团体在其网络安全被入侵后,24小时内需向政府报告。沃恩德兰和其他证人周二主张将此类立法签署为法律,以反击勒索软件攻击和其他网络安全事件。
该场听证会说明了政策制定者在寻求打击勒索软件攻击面临的、更广泛的挑战。有网络安全专家说,企业为了快速解决问题宁可支付赎金,也想从备份中恢复数据,也不愿冒着黑客在线发布敏感信息的风险。
虽然政府官员试图阻止勒索软件受害者付赎金,但一直没有找到有效的方法来阻止这种行为。美国财政部规定,向受美国政府制裁的实体发送勒索软件赎金可能视为违法,但该限制不适用于未受制裁的收款人。
Colonial Pipeline表示,公司仔细研究了向犯罪集团 DarkSide 支付的 440 万美元赎金是否会触犯财政部的警告——这表明受害公司有动机想办法用钱解决问题。
今年 4 月,安全与技术研究所(Institute for Security and Technology)发布了一份由政府官员、网络安全专家和企业组成的勒索软件工作组(Ransomware Task Force)撰写的报告,该报告没有就是否禁止勒索软件支付提出具体建议。这是报告中唯一没有给出具体建议的问题。
在周二接受美国有线电视新闻网(CNN)采访时,运输安全管理局局长大卫·佩科斯克(David Pekoske)表示,支付赎金应该是「在政府指导下的商业和安全决定」。
TSA 对地面运输行业拥有独有的管辖权,包括天然气和危险液体管道。他说,在对 Colonial Pipeline 的网络攻击之后,该机构发布了两项安全指令,迫使美国最关键管道的所有者和运营商遵守网络安全缓解措施,但不包括禁止支付赎金。佩科斯克敦促企业应加大网络安全投资力度。
司法部希望国会介入,为勒索事件注入一些透明度。司法部助理检察长理查德·唐宁(Richard Downing)表示,企业应该向美国政府披露涉及勒索软件、关键基础设施或「其他影响较大的违规行为」的网络攻击事件。