Il governo britannico sta valutando di vietare il pagamento di riscatti in caso di attacchi ransomware alle organizzazioni del settore pubblico e delle infrastrutture critiche. La proposta, lanciata martedì dal Ministero dell'Interno, mira a colpire il modello di business dei criminali informatici.
La misura arriva dopo una serie di cyberattacchi che hanno colpito il settore pubblico del Regno Unito negli ultimi anni. Nel 2023, il Servizio Sanitario Nazionale (NHS) ha dichiarato un incidente "critico" in seguito all'attacco al fornitore di laboratori patologici Synnovis, che ha causato una massiccia violazione di dati sensibili dei pazienti e mesi di disagi.
Le nuove proposte vieterebbero agli enti pubblici come consigli locali, scuole e trust NHS di effettuare pagamenti agli hacker. Inoltre, renderebbe un reato penale per le organizzazioni di infrastrutture critiche, come le aziende dei settori energia e comunicazioni, pagare riscatti in caso di attacco ransomware.
Il piano prevede anche l'introduzione di un regime di segnalazione obbligatoria degli incidenti ransomware e un programma per prevenire il pagamento di riscatti a entità sanzionate.
Il Ministro della Sicurezza Dan Jarvis ha dichiarato: "Con un miliardo di dollari stimati fluiti verso i criminali del ransomware a livello globale nel 2023, è vitale che agiamo per proteggere la sicurezza nazionale. Queste proposte ci aiutano a far fronte alla minaccia del ransomware, colpendo questi network criminali nei loro portafogli e tagliando la chiave finanziaria su cui fanno affidamento per operare".
Secondo i dati condivisi dal Ministero dell'Interno, il Centro Nazionale per la Sicurezza Informatica del Regno Unito ha gestito 430 incidenti informatici nell'anno terminato ad agosto 2024, inclusi 13 incidenti ransomware "significativi a livello nazionale". Questi sono stati effettuati "in gran parte da gang criminali affiliate alla Russia", che continuano a rappresentare una "minaccia immediata e dirompente" per le infrastrutture critiche nazionali del Regno Unito.
L'Agenzia Nazionale contro il Crimine del Regno Unito ha preso provvedimenti contro una di queste gang nell'ottobre 2024, smascherando un presunto affiliato del prolifico gruppo ransomware LockBit, legato alla Russia. LockBit era stato precedentemente collegato a un cyberattacco contro il fornitore IT dell'NHS Advanced.
Negli Stati Uniti, il governo federale ha da tempo esortato a non pagare le richieste di riscatto, ma non ha imposto un divieto nazionale assoluto sui pagamenti di riscatti. Tuttavia, nell'ottobre 2023, un'alleanza guidata dagli Stati Uniti di oltre 40 paesi si è impegnata a non pagare riscatti ai criminali informatici nel tentativo di privare gli hacker della loro fonte di reddito.
La consultazione del Ministero dell'Interno britannico sulla proposta di divieto di pagamento dei riscatti è destinata a concludersi nell'aprile 2025. Non è ancora chiaro se e quando il governo intenda presentare la misura al Parlamento per l'approvazione.