Connect with us

Technologie

Est-il temps d’interdire les paiements d’assurance ransomware?

Published

on


En janvier 2021, les Gardien Le journal a accordé une interview à Ciaran Martin, le directeur fondateur du Centre national de cybersécurité (NCSC), qui depuis qu’il a quitté son poste en 2020 s’est impliqué dans un certain nombre d’autres entreprises, dont l’enseignement et l’investissement en démarrage.

Dans cette interview, Martin – qui a déjà été franc au sujet de ses préoccupations au sujet ransomware, en disant qu’à la NCSC, il avait souvent gardé éveillé la nuit – a déclaré que le fléau était maintenant sur le point de devenir hors de contrôle et a souligné en particulier le risque pour le NHS et d’autres systèmes critiques pendant la pandémie Covid-19.

Selon Martin, le problème ransomware est maintenant exacerbé par les victimes de payer des rançons à leurs extorsionnistes, puis réclamer cette somme sur leur assurance. Il a décrit cela comme une « incitation » qui encourage les victimes à payer pour résoudre rapidement leur problème.

Il a déclaré au journal qu’il était maintenant temps de « regarder sérieusement » la modification de la loi sur les assurances pour interdire les paiements – ou, sinon cela, d’entamer des consultations avec l’industrie sur la façon de réagir.

La question de savoir si oui ou non de criminaliser le paiement des demandes ransomware sous une forme ou une autre s’est posée avec une régularité croissante au cours des 12 derniers mois, à côté de la montée des attaques ransomware comme peut-être la menace la plus importante de cybersécurité face à l’organisation moyenne.

Dans cette optique, le fait que l’un des principaux dirigeants et autorités britanniques en matière de sécurité ait déclaré son opinion sur la question est significatif. Alors, est-ce une idée pour qui l’industrie est prête?

Non sans précédent

Au-delà du monde de la technologie, l’enlèvement et la rançon (K&R) assurance comme un concept existe depuis longtemps et s’est répandue dans les années 1960 lorsque la terreur et les groupes séparatistes en Europe ont commencé à adopter l’enlèvement comme une tactique.

Dans les années 1980, Margaret Thatcher a proposé de l’interdire, faisant valoir qu’il laïchait les citoyens britanniques plus à risque d’attaque et d’extorsion à l’étranger. Le débat s’est poursuivi jusqu’à la Communauté européenne (CE) de l’époque à Bruxelles, mais une interdiction n’a jamais été rendue aux statuts.

Néanmoins, dans un pays qui a un problème de criminalité organisée, l’interdiction des rançons et la vente d’assurance K&R ont été mises en œuvre : l’Italie. En 1991, une loi a été adoptée qui allait jusqu’à geler les avoirs et les comptes bancaires des familles des personnes enlevées par des groupes mafieux pour les empêcher de tousser.

Dans une certaine mesure, l’interdiction a été couronnée de succès, bien qu’un effet secondaire ait apparemment été, et sans surprise, que les enlèvements signalés aient chuté dans les statistiques, un point très important que nous revenons en temps voulu.

Néanmoins, il établit qu’il existe un précédent pour la mise en œuvre d’une telle interdiction pour couvrir la cybercriminalité et s’engager avec des acteurs malveillants et les payer.

Fiona Kingscott, avocate en droit commercial au cabinet juridique Langleys, affirme que la nature de la cybercriminalité fait de la mise en œuvre des recours juridiques une proposition difficile.

« L’utilisation ransomware est une infraction en vertu de la Loi de 1990 sur l’utilisation abusive de l’ordinateur, mais l’application de la loi n’est pas une question facile. Les cybercriminels sont difficiles à détecter : ils utilisent des méthodes sophistiquées pour cacher leur identité et leur emplacement. Souvent, le crime a une nature transfrontalière : les criminels peuvent avoir une adresse IP dans un pays, cibler des victimes dans un deuxième pays et envoyer les produits de la criminalité dans un pays tiers », explique-t-elle.

« La coopération multinationale en matière d’application de la loi est importante, et cela peut être difficile, car les lois régissant l’Internet varient d’un pays à l’autre. Il s’agit de savoir si une loi en cours n’est pas criminelle dans un pays, mais dans un autre.

« Il est difficile d’obtenir des éléments de preuve et de mettre sur pied une affaire. Il peut également être difficile d’établir quel est l’esprit de contrôle de l’entreprise criminelle. De plus, un ordinateur contient souvent des renseignements juridiquement privilégiés, et le processus de protection contre cette divulgation pendant l’exercice de collecte de preuves ajoute beaucoup de temps supplémentaire à l’action.

Le moyen facile de sortir d’une attaque ransomware ne devrait pas payer la rançon. Plus nous perpétuons ce cycle, plus il ajoutera de carburant au feu

Russell Haworth, Nominet

Cependant, malgré ces difficultés, Kingscott dit qu’elle n’est pas du tout contre l’idée. « La croissance de la cybercriminalité semble indéniable et doit être vérifiée, étant donné que les produits potentiels de ce genre de crime sont énormes et alimenteront d’autres crimes, et le risque qu’elle représente pour les entreprises et les particuliers est élevé », dit-elle.

« Mais il n’est pas facile d’appliquer la loi, et il faut donc trouver d’autres méthodes pour contrôler la croissance de ces crimes. Je serais heureux des amendes pour payer ransoms, comme je peux le voir peu d’option.

Russell Haworth, PDG de Nominet, est d’accord pour dire que quelque chose doit changer. « Changer la loi afin que les entreprises ne peuvent pas réclamer des paiements ransomware sur l’assurance serait une décision intelligente de changer la façon dont les entreprises réagissent aux attaques, dit-il.

« Le moyen facile de sortir d’une attaque ransomware ne devrait pas payer la rançon, en particulier quand il n’y a aucune garantie que les pirates vont garder leur côté de l’affaire et les données peuvent encore être en danger. Plus nous perpétuons ce cycle, plus il ajoutera de carburant au feu. Les cybercriminels deviendront peut-être même plus audacieux dans leur approche, à la recherche de cibles de plus grande valeur dans des industries critiques comme les soins de santé ou l’énergie », dit-il.

Il est temps de discuter

Erin Kenneally, directrice de l’analyse des risques cybernétiques chez Guidewire, et ancienne membre du personnel de la cyber division cybernétique du département américain de la Sécurité intérieure, affirme que le dialogue est nécessaire pour dissuader à la fois l’offre et la demande de paiements ransomware – l’interdiction des paiements d’assurance retoquerait évidemment dans la première approche. Elle souligne également que les interventions actuelles de toucher léger pour ransomware se sont avérées inefficaces.

« Les États-Unis, par exemple, ont publié un Office of Foreign Assets Control [OFAC] avis sur les risques de sanction du paiement des rançons et un avis de la FINCEN sur la déclaration des indicateurs ransomware drapeau rouge. À ce jour, aucune sanction civile n’a été imposée aux entreprises victimes, aux assureurs ou aux sociétés d’intervention pour avoir payé ou facilité le paiement de la cyber extorsion », dit-elle.

« En un mot, étant donné que la rançon est souvent inférieure au coût de la récupération, de l’interruption des activités et de la perte d’affaires – dont la convergence peut causer la mort financière – de nombreuses victimes et assureurs paient simplement la rançon et risquent des sanctions.

« En conséquence, les assureurs ont adopté une approche économique rationnelle pour les paiements ransomware, conduisant à un sentiment croissant que l’industrie aggrave le problème en payant des extorsions. »

Kenneally dit que l’action législative peut être un moyen efficace de forcer le changement systémique et de mettre fin au cas par cas, approche discrétionnaire par les assureurs et les victimes – une recette pour ransomware whack-a-mole si jamais il y avait un.

« Bien qu’au niveau de la politique individuelle, il puisse être rationnel de payer les extorsionnistes, lorsqu’on les regarde à long terme et cumulatifs, l’approche actuelle encourage probablement les rançonnaires et sans doute d’autres mauvais acteurs dont les bénéfices proviennent de la hausse des prix des cryptomonnaies », dit-elle.

« Combinés au cadre juridique vague qui peut décourager la transparence des paiements par les victimes, nous avons l’environnement à haut revenu/à faible risque qui présidait probablement les affaires des acteurs terroristes et parrainés par l’État. Il y a donc des implications collatérales non négligeables pour la poursuite de la dynamique actuelle des paiements.

Charl van der Walt, responsable de la recherche sur la sécurité chez Orange Cyberdefense, est également prêt pour la conversation. « Il est absolument essentiel que nous avons cette discussion », dit-il. « Mais ce qui est moins clair, c’est de savoir s’il est illégal de céder aux demandes des pirates en payant une rançon est vraiment la bonne solution. C’est quelque chose qui reste très controversé.

« Il ya encore des points d’interrogation sur les avantages réels de criminaliser les paiements ransomware. Nous parlons d’une réponse sévère à un problème prolifique, mais si la menace de ransomware continue d’augmenter, nous n’avons peut-être pas d’autre choix. Malheureusement, cela entraînerait sans aucun doute des pertes d’affaires à court terme. Il s’agit d’arracher le plâtre pour guérir la plaie.

« D’un autre côté, il y a un précédent pour ce genre d’approche, étant donné la façon dont elle a fonctionné dans d’autres contextes. Toutefois, le cyberepion spatial n’est pas réglementé, et les cybercriminels sont réactifs et agiles, il serait donc très audacieux d’affirmer qu’une telle réponse à elle seule suffirait à éliminer la menace.

Équilibré et pragmatique

Kenneally de Guidewire ajoute que tout mécanisme juridique devra être soigneusement équilibré pour s’assurer qu’il est juste et équitable. Par exemple, il devra tenir compte des circonstances atténuantes où la vie humaine est en jeu, comme dans une attaque contre un hôpital.

« Nous devrions faire attention que ceux qui sont les moins en mesure de soutenir une attaque ransomware ne sont pas aussi les entités les plus durement touchées par la criminalisation des paiements. De plus, étant donné que la législation fonctionne souvent sur de longs horizons temporels et que ce problème peut exiger des réponses plus immédiates, nous devrions envisager d’autres interventions. Par exemple, l’industrie de l’assurance peut agir seule et prendre une position politique pour refuser le paiement, à moins de circonstances définies et exceptionnelles qui menacent la vie et la sécurité.

« Il s’agirait d’une approche d’autoréfique globale qui établit une politique de non-paiement des rançons. Ce est déjà adopté du côté des victimes-payeurs; plus de 225 maires américains ont signé une résolution de ne pas payer de rançons aux pirates informatiques », dit-elle.

« Il peut être mis en œuvre par les assureurs en tirant parti des dispositions traditionnelles relatives aux clauses de conformité, telles que l’exclusion des paiements assujettis aux restrictions réglementaires existantes ou le gel des prestations de police soumises à la surveillance gouvernementale des violations des sanctions. »

Enlevons le tabou lié au compromis et aidons les organisations à s’améliorer dans la mesure où l’extorsion devient une affaire peu viable pour les criminels

Matt Lawrence, F-Secure

Matt Lawrence, directeur de la détection et de la réponse de F-Secure, adopte une ligne similaire : « Il est essentiel que nous abordions ce sujet de manière pragmatique. Est-il acceptable pour une organisation de risquer un impact sérieux qui pourrait avoir un impact important sur les moyens de subsistance des populations qui en dépendent, sur la base d’une politique fourre-tout qui ne tient pas les organisations environnementales complexes ?

Lawrence propose qu’au lieu d’une interdiction pure et simple, la loi agit plutôt pour mieux aider l’industrie de l’assurance à soutenir les victimes ransomware.

« L’assurance a un rôle clé à jouer dans l’atténuation des risques, dit-il. « Plutôt que de pénaliser les entreprises pour avoir tenté de se sauver, une politique progressiste qui reconnaît le défi et se concentre sur le soutien aux organisations pour qu’elles font les bonnes choses dès le départ en se préparant adéquatement au compromis, par exemple, aurait un impact beaucoup plus large sur ce problème.

« Élisons le tabou lié au compromis et aidons les organisations à s’améliorer dans la mesure où l’extorsion devient une affaire peu viable pour les criminels », dit-il.

La criminalisation comporte de nouveaux risques

Mais il existe un argument puissant – et, pour beaucoup, convaincant – selon lequel l’interdiction pure et simple de faciliter ces paiements ne fait que changer la nature du risque auquel sont confrontées les organisations, comme le souligne Patrick Arben, associé du cabinet Gowling WLG.

« Le problème évident, c’est que s’il devient illégal de payer, cela pourrait étouffer la disponibilité de l’assurance. Quand j’ai agi sur les attaques ransomware, les montants demandés sont relativement modestes pour encourager les gens à payer. Si la victime refuse de payer parce que c’est illégal, alors l’impact sur leur entreprise pourrait être catastrophique », dit-il.

Si les assureurs sont faits pour exclure la responsabilité pour les attaques ransomware de leurs cyber-risques et les politiques PI, Arben dit que les entreprises seront laissés exposés sans remède efficace parce qu’ils ne peuvent pas payer et ils ne peuvent pas s’assurer d’atténuer les coûts de ne pas payer.

« Certes, cela pourrait conduire à la baisse des attaques ransomware au fil du temps, mais les dommages collatéraux pour les entreprises en y arriver pourrait être grave, dit Arben.

Bharat Mistry, directeur technique de Trend Micro UK, déclare: « À première vue, criminaliser les paiements de rançons pourrait ressembler à cela fonctionne, mais en réalité les organisations chercheront à couvrir toute cyber-violation en citant la panne de service due à quelque chose comme un problème matériel.

« Ce n’est pas une stratégie efficace, car les cybercriminels entreprenants innoveront et s’adapteront toujours à l’évolution de l’environnement et suivront l’argent. Je vois des organisations de victimes en désespoir de cause qui cherchent à utiliser des services clandestins discrets de blanchiment d’argent pour le paiement.

« Le plus gros problème que je vois, c’est la façon dont le gouvernement appliquera une telle loi et la rendra équitable. Cela vous fait aussi vous demander ce qu’il adviendra du marché de la cyber-assurance, qui est très lucratif à l’heure actuelle », ajoute-t-il.

Richard Hughes, responsable de la cybersécurité technique chez A&O IT Group, abonde dans le même sens : « Nous pouvons, bien sûr, envisager une législation interdisant le paiement des rançons, ce qui aurait certainement un effet positif, mais dans certains cas, cela poussera simplement le problème dans l’ombre, car les organisations qui n’ont plus d’autre choix que de payer ou de se coucher peuvent choisir d’ignorer une loi et de prendre les seules mesures possibles pour survivre. », dit-il.

Ça m’a l’air familier ? Les Italiens ont eu le même problème avec leurs statistiques d’enlèvement.

La technologie est-elle la vraie solution ? On peut soutenir que oui

En l’absence de recours juridiques formels, le scénario optimal pour toute organisation est d’éviter de devenir victime de ransomware pour commencer, comme Adam Palmer, stratège en chef de la cybersécurité chez Tenable, souligne.

« La politique gouvernementale devrait encourager les pratiques de base en matière de cyberesserrie qui durcissent les systèmes et évitent les attaques ransomware », déclare Palmer. « Les vulnérabilités connues continuent d’être la méthodologie d’attaque préférée des attaquants avancés. La sensibilisation des utilisateurs, la détection des logiciels malveillants, les sauvegardes système et la gestion des vulnérabilitésuce la probabilité de préjudice d’une attaque ransomware.

Les vulnérabilités connues continuent d’être la méthodologie d’attaque préférée des attaquants avancés

Adam Palmer, Tenable

Hughes d’A&O ajoute : « Bien que je soutiende l’interdiction du paiement des rançons, la prévention vaut toujours mieux que guérir. Les organisations doivent tenir compte de leur posture de sécurité et prendre des mesures pour atténuer les vulnérabilités qui conduisent à des attaques ransomware. L’analyse régulière des vulnérabilités et les tests de pénétration devraient être encouragés et une législation visant à faire respecter l’évaluation des organisations répondant à certains critères devrait également être envisagée.

Kenneally guidewire fait également l’argument pour de meilleurs contrôles de sécurité. « Bien qu’il n’y ait pas de solution miracle, il ya connu, le blocage de base et de s’attaquer qui peut réduire considérablement les expositions au risque ransomware, dit-elle.

« Il s’agit notamment de sauvegardes de systèmes et de données récupérables, [remote desktop protocol] les ports et services ne sont pas ouvertement exposés à Internet, la maintenance de correctifs logiciels mis à jour pour les VPN et les appareils qui fournissent des entrées aux réseaux d’entreprise, la mise en œuvre de contrôles de fraude par courriel / ingénierie sociale, et en utilisant l’authentification multifactorielle pour durcir IAM [identity and access management].

« Ces contrôles de prévention des risques sont la responsabilité directe des assurés des entreprises, mais les cyber-transporteurs dans l’ensemble n’ont pas fait grand-chose pour encourager leur adoption », note-t-elle.

En outre, conclut-elle, l’amélioration de l’attribution et de l’application de la loi contre les mauvais acteurs peut dissuader le côté demande du problème en rendant plus difficile la réalisation des attaques qui laissent aux victimes et aux assureurs le « choix hobbesien » de payer et de nourrir la bête, ou de refuser et de subir de graves dommages.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance