英國禁止公共部門支付勒索軟體贖金,但關於是否應對受害者進行刑事處罰仍存在激烈爭議。
7月22日,英國政府提出了旨在完全禁止公共機構和關鍵國家基礎設施運營商在勒索軟體攻擊中支付贖金的提案。
據英國內政部稱,此舉旨在破壞網路犯罪的商業模式,同時保護醫療、能源和地方政府等基本公共服務。這一禁令比之前僅限於中央部門的規定範圍更廣。
這些提案是在1月至4月的公開諮詢後釋出的,共收到273份反饋。近75%的參與者認為禁令是合理的。然而,圍繞對違規受害者適用處罰的問題出現了一個重大爭論點。
儘管大多數意見支援採取制裁措施,但仍存在對受害者刑事化的擔憂,以及在適用民事還是刑事制裁方面缺乏統一性。內政部表示將繼續考慮最適當和最平衡的處理方式。
這一禁令是由英國國家網路安全中心(NCSC)確定的勒索軟體現狀推動的,該中心認為這是對該國最嚴重和最具破壞性的威脅。最近的攻擊,如6月針對Synnovis實驗室的攻擊導致多項手術和就診安排中斷,以及2023年10月導致英國國家圖書館系統完全癱瘓的攻擊,凸顯了這一問題的緊迫性。
在英國選擇強硬解決方案的同時,其他國家採取了更多樣化的方法。在美國,眾議院共和黨最近提議削減執行SEC要求企業在四天內報告網路安全事件的規定的預算。
相比之下,澳大利亞頒佈了法律,要求企業在收到贖金要求時mandatory報告,但拒絕對支付行為進行刑事處罰。各國方法的缺乏一致性反映了在遏制網路犯罪目標和保護勒索軟體受害者需求之間取得平衡的複雜問題。
