Det er en ond spiral, der kun gør hackerne mere sultne, stærkere og får dem til at angribe oftere, når virksomheder og institutioner indvilliger i at betale løsesum for at slippe ud af hackernes jerngreb.
Derfor vil Storbritannien forbyde alle offentlige institutioner at betale løsesum til hackerbander.
Det betyder, at alt fra sundhedssektoren og skoler til lokale myndigheder i landet ikke længere får lov til at forhandle med de cyberkriminelle grupper, der gennem de seneste år gentagne gange har lammet britiske samfundsfunktioner med afpresning og låsning af data og it-systemer.
Samtidig lægger det britiske indenrigsministerium op til, at private virksomheder får skærpet deres indberetningspligt ved eventuelle betalinger.
"Ransomware er en rovkriminalitet, som truer både menneskeliv og samfundets grundlæggende funktioner. Derfor vil vi knuse de kriminelles forretningsmodel," udtaler Storbritanniens sikkerhedsminister Dan Jarvis ifølge The Register.
Dagbøder på op til 860.000 kroner
Tiltaget er en del af Storbritanniens kommende Cyber Resilience Bill, der forventes fremlagt for det britiske parlament senere i år.
Loven vil ikke kun forbyde betalinger, den vil også give myndighederne beføjelser til at udstede dagbøder på op til 100.000 britiske pund (cirka 860.000 kroner) eller 10 procent af virksomheders omsætning, hvis de ikke implementerer sikkerhedsopdateringer, der kan forhindre angreb.
De nye regler vil betyde, at offentlige enheder ikke må betale – selv i tilfælde, hvor hackere truer med at offentliggøre følsomme persondata.
For private virksomheder gælder der ikke et decideret forbud, men enhver hensigt om at betale skal fremover rapporteres til myndighederne.
Eksperter advarer dog om, at et forbud mod betalinger kan føre til øget mørketal og manglende indberetninger.
Kev Breen, direktør for cybertrusselsanalyse hos Immersive Labs, siger til The Register:
”Der er mange moralske overvejelser her. Selvom det altid er nemt at sige 'betal aldrig', er virkeligheden langt mere uklar. Nogle organisationer har betalt løsesum ikke for at genoprette infrastrukturen, men for at forhindre offentliggørelse af store mængder personligt identificerbare oplysninger – hvor skaden for enkeltpersoner kan være langt større end en tjeneste, der er offline.”
Kommer efter omfattende angreb mod hospitaler
Lovforslaget kommer i kølvandet på en række alvorlige hackerangreb mod britiske sygehuse.
Sidste år lykkedes det den russiske ransomware-gruppe Qilin at bryde igennem it-sikkerheden hos Synnovis Group LLP, der leverer forskellige laboratorietjenester til en række hospitaler i London-området.
Qilin låste vitale it-systemer, der anvendes til blandt andet test af blod og håndtering af blodtransfusioner, hvilket betød, at adskillige operationer blev udskudt, mens kritiske patienter blev overført til andre sygehuse.
For at låse systemerne op krævede hackerbanden angiveligt 50 millioner dollar i løsepenge (ca. 350 millioner kroner) for at sende krypteringsnøglen til sygehusene, så de igen kunne tilgå dataene.
Det er uvist, hvordan forhandlingerne mellem hackergruppen og Synnovis Group forløb, men det tyder ikke på, at løsesummen blev betalt. I hvert fald er 400 GB persondata tilhørende patienter og ansatte på hospitalerne efterfølgende lækket.
Angrebet fik samtidig enorme konsekvenser for en række patienter.
Færre betaler
Det er blevet en langt mindre attraktiv forretning at være hacker end tidligere, ifølge en ny rapport fra analysefirmaet Chainalysis.
Rapporten, der udkom i foråret, viser, at de samlede betalinger til ransomware-grupper faldt med mere end en tredjedel i 2024 – fra 1,25 milliarder dollar til 813 millioner dollar. Det svarer til et fald på omkring 437 millioner danske kroner.
Ifølge rapporten skyldes nedgangen både bedre internationalt samarbejde og en stigende bevidsthed i erhvervslivet om farerne ved at imødekomme hackernes krav.
"I årevis har eksperter frygtet en eksplosion i ransomware-angreb, men i stedet ser vi nu et markant fald – faktisk til lavere niveauer end både 2020 og 2021," udtaler Jacqueline Burns Koven, chef for cybertrusselsanalyse hos Chainalysis.