Home » Neuer Gesetzentwurf würde die Offenlegung von Ransomware-Zahlungen vorschreiben

Neuer Gesetzentwurf würde die Offenlegung von Ransomware-Zahlungen vorschreiben

by drbyos
0 comment

Der neue Ransom Disclosure Act, ein Gesetzentwurf, der in der vergangenen Woche von Senatorin Elizabeth Warren, D-Massachusetts, im Senat und Repräsentantin Deborah Ross, D-North Carolina, im Repräsentantenhaus vorgelegt wurde, würde mehr Transparenz darüber erfordern, wann und wie Ransomware-Zahlungen erfolgen an Cyberkriminelle gerichtet sind.

WARUM ES WICHTIG IST
Die Gesetzgebung zielt darauf ab, dem US-Heimatschutzministerium „kritische Daten zu Ransomware-Zahlungen zur Verfügung zu stellen, um unser Verständnis der Funktionsweise von cyberkriminellen Unternehmen zu verbessern und ein umfassenderes Bild der Ransomware-Bedrohung zu entwickeln“, so Warren und Ross.

Zu den wichtigsten Anforderungen des Gesetzentwurfs gehört, dass Organisationen – aber nicht Einzelpersonen –, die von Ransomware betroffen sind, Informationen über alle von ihnen geleisteten Lösegeldzahlungen „spätestens 48 Stunden nach dem Zahlungsdatum, einschließlich der Höhe des geforderten und bezahlten Lösegelds, offenlegen. die Art der Währung, die für die Zahlung des Lösegelds verwendet wird, und alle bekannten Informationen über die das Lösegeld verlangende Stelle.”

Das Gesetz würde auch verlangen, dass das Department of Homeland Security Informationen veröffentlicht, die ihm im vergangenen Jahr offengelegt wurden (jedoch keine identifizierenden Informationen über die Entitäten, die eingezahlt haben).

Es weist das DHS auch an, eine Website einzurichten, um die freiwillige Meldung von Lösegeldzahlungen zu erleichtern, und fordert den DHS-Sekretär auf, eine Studie zu „Gemeinsamkeiten zwischen Ransomware-Angriffen und dem Ausmaß, in dem Kryptowährungen diese Angriffe erleichtert haben, in Auftrag zu geben und Empfehlungen zum Schutz von Informationssystemen zu geben und“ Stärkung der Cybersicherheit.”

DER GRÖSSERE TREND
Warren und Ross stellen fest, dass Ransomware-Angriffe in Nordamerika zwischen 2019 und 2020 um 158% zugenommen haben und dass das FBI im vergangenen Jahr fast 2.500 Ransomware-Beschwerden erhalten hat, mit Verlusten von über 29 Millionen US-Dollar.

Lesen Sie auch  Whirlpools, Heißluftfritteusen, Häuser: Bedauern wir unsere Pandemie-Käufe? | Leben und Stil

Der Gesetzentwurf kommt, da die Bundesregierung den Umfang und die Schwere der Bedrohung viel ernster nimmt. Es wurde in der gleichen Woche vorgestellt, in der das US-Justizministerium angekündigt hatte, Auftragnehmer für die Nichtmeldung von Cybersicherheitsvorfällen mit Geldstrafen zu bestrafen, und Monate nachdem das DOJ angekündigt hatte, seine Ransomware-Untersuchungen auf Terrorismusebene zu priorisieren. Die Biden-Regierung hat sogar angekündigt, als Reaktion auf bestimmte Ransomware-Angriffe militärische Maßnahmen in Betracht zu ziehen.

Auf der HIMSS21 vor zwei Monaten debattierte ein Gremium von Cybersicherheitsexperten darüber, ob schlechte Akteure bezahlt werden sollten oder nicht – und wie die Anforderungen an Datenintegrität und Geschäftskontinuität mit dem moralischen Risiko der Belohnung krimineller Cyberangriffe abzuwägen sind.

“Wir müssen Lösegeldzahlungen verbieten”, sagte Alex Stamos, Gründungspartner der Krebs Stamos Group und ehemaliger Sicherheitschef von Facebook und Yahoo. “Im Allgemeinen werden Unternehmen heute dafür nicht rechtlich sanktioniert. Das FBI sagt, bitte zahlen Sie nicht. Aber sie haben keine Möglichkeit, das wirklich durchzusetzen. Und im Moment werden Sie diesen Rat nicht befolgen.”

„In den USA gibt es kein breites gesetzliches Verbot, Lösegeld zu zahlen, mit einer bemerkenswerten Ausnahme: Es ist illegal, Lösegeld an eine Gruppe, eine Einzelperson, einen Nationalstaat oder eine Körperschaft zu zahlen, die entweder von den USA, den Vereinten Nationen oder jede andere internationale Organisation”, sagte Admiral Michael S. Rogers im Ruhestand, ehemaliger Direktor der National Security Agency und ehemaliger Kommandant des US Cyber ​​Command. (Lesen Sie unser Interview mit ihm.)

“Aber ob du bezahlst sollte ein anderes Gespräch sein als [whether you should be] mit diesen Personen zu sprechen“, fügte Rogers hinzu. „Ich sage immer, dass Sie aus zwei Gründen mit den Kriminellen sprechen sollten: Erstens kann es Ihnen Zeit geben – Zeit, um Ihre Verteidigung zu unterstützen und Ihrer Organisation zu helfen, zu reagieren – und zweitens kann es manchmal eine Quelle für Einblicke in das, was dieser Schauspieler getan hat.”

Lesen Sie auch  Das Neueste: Sri Lanka erhält 1 Million Dosen des Sinopharm-Impfstoffs

AUF DER AUFZEICHNUNG
„Ransomware-Angriffe nehmen rasant zu, dennoch fehlen uns wichtige Daten, um Cyberkriminelle zu verfolgen“, sagte Warren in einer Erklärung zur Ankündigung des neuen Ransom Disclosure Act. „Mein Gesetzentwurf mit Kongressabgeordneter Ross würde Offenlegungspflichten bei Lösegeldzahlungen festlegen und uns ermöglichen, zu erfahren, wie viel Geld Cyberkriminelle von amerikanischen Unternehmen abschöpfen, um kriminelle Unternehmen zu finanzieren – und uns dabei helfen, sie zu verfolgen.“

„Ransomware-Angriffe werden jedes Jahr häufiger und bedrohen unsere nationale Sicherheit, Wirtschaft und kritische Infrastruktur“, fügte Ross hinzu. „Da Opfer keine Angriffe oder Zahlungen an Bundesbehörden melden müssen, fehlen uns leider die kritischen Daten, die erforderlich sind, um diese cyberkriminellen Unternehmen zu verstehen und diesen Einbrüchen entgegenzuwirken.

„Die USA können Ransomware-Angriffe nicht weiterhin mit einer auf dem Rücken gefesselten Hand bekämpfen“, fügte sie hinzu. “Die Daten, die diese Gesetzgebung liefert, werden sicherstellen, dass sowohl die Bundesregierung als auch der private Sektor gerüstet sind, um die Bedrohungen zu bekämpfen, die Cyberkriminelle für unser Land darstellen.”

Twitter: @MikeMiliardHITN
E-Mail an den Autor: [email protected]

Healthcare IT News ist eine HIMSS-Publikation.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.