英国政府已启动一项磋商程序(持续到 2025 年 4 月 8 日),以禁止公共部门以及受监管的关键国家基础设施 (CNI) 的所有者和运营商支付勒索软件费用。
禁止支付赎金伴随着更严格的报告要求。禁令之外的组织,如果在法律上有能力支付赎金,则必须在支付任何赎金之前报告支付赎金的意图。这似乎将增加勒索软件情报收集,但它同样对这些组织施加了非法律压力,迫使它们拒绝支付。
意图很明确。由于没有找到通过预防或攻击来遏制犯罪敲诈勒索的技术手段,新提议是消除其盈利能力。如果犯罪分子无法从攻击中获益,他们就没有动机进行攻击。这是围攻攻击的现代变体——我们将饿死敌人,使其屈服。
由于目前处于咨询期,因此无法保证哪些提案(如果有的话)最终会成为法律。例如,医疗服务这一棘手领域没有得到特殊对待。医疗是英国 13 个被归类为 CNI 的行业之一,并且(在咨询提案中)无法支付赎金——即使患者的生命取决于此。这是政府的意图,还是政府真正寻求公众意见的领域?
然而,有趣的是,该提案似乎遵循了美国的蓝图。联邦政府并没有全权实施一刀切的国家法规。相反,它要求联邦机构和受监管行业(美国 CNI)遵守其提案,然后通过涓滴效应让其他行业自愿采用这些要求。
英国政府的提议类似:在更容易监管的地方进行监管,并希望其他国家也能效仿。
这份咨询文件并没有告诉我们会发生什么——但值得注意的是,过去的咨询对最初的提议影响不大。
