Comment les gouvernements peuvent-ils limiter les attaques croissantes de ransomwares ?
Le problème avec les rançongiciels est que les victimes paient des rançons, ce qui crée une activité très lucrative pour les cybercriminels. Pourtant, la majorité des victimes ne récupèrent jamais toutes leurs données des semaines et des mois plus tard après des processus de restauration longs et chronophages. Selon Gartner, en moyenne, seulement 65 % des données sont récupérées, et seulement 8 % des organisations parviennent à récupérer toutes les données.
Les attaques ont tendance à se produire lorsque les PDG et leurs conseils d'administration n'évaluent pas pleinement les risques de l'entreprise et n'investissent pas de manière adéquate dans les personnes, les processus et la technologie de cybersécurité. Au lieu de cela, la seule atténuation des risques est celle de la cyber-assurance pour couvrir certains des coûts directs d'une attaque de ransomware. Mais la cyber-assurance ne couvre pas l'intégralité des coûts de traitement des incidents, de restitution et de récupération des données, des amendes et des dommages-intérêts punitifs, de la surveillance du crédit des victimes et des recours collectifs massifs. Elle ne peut pas non plus couvrir la perte de réputation suite à un incident. Le nom de cette entreprise est à jamais endommagé.
Un bon exemple de cela est la violation de Scripps Health en 2021. Scripps était en panne et incapable de traiter les patients pendant plus d'un mois. Compte tenu de sa concentration géographique dans la région de San Diego, en Californie, et du fait que les dossiers des patients étaient tous cryptés, les patients ayant un besoin urgent de soins devaient se rendre à Los Angeles dans de nombreux cas pour recevoir un traitement, puis manquaient de leurs dossiers médicaux pour les médecins. les traiter correctement. L'impact sur la morbidité et la mortalité des patients n'a pas encore été évalué par les tribunaux, mais les familles des patients atteints d'un cancer à un stade avancé disposent probablement d'un bon recours juridique en dommages-intérêts.
Scripps a perdu 112.7 millions de dollars de revenus à lui seul. Et c'est avant toutes les amendes, les dommages et les poursuites. Bien que Scripps ait souscrit une assurance contre les bris, cela ne fera probablement même pas une brèche dans les pertes totales. Considérons maintenant la négligence contributive et le fait que le chef de financer et comptabilité aurait proposé un plan de réduction des coûts en 2019 en licenciant le personnel informatique et de sécurité le plus cher et le plus expérimenté, y compris le CIO et le CISO, en les remplaçant par des juniors moins expérimentés. Je suis sûr que la compagnie d'assurance de Scripps et les avocats du recours collectif examinent très attentivement ces informations et les décisions du PDG qui ont conduit à la violation.
L'assurance contre les cyberattaques est également de plus en plus difficile et coûteuse à obtenir et comporte désormais de multiples exclusions pour les actes de guerre. Ainsi, si le gouvernement russe ou son mandataire, par exemple, se trouve être à l'origine d'une cyberattaque contre une entreprise, la police d'assurance ne paie pas. en dehors. De plus, si une entreprise ne dispose pas des contrôles de cybersécurité raisonnablement attendus, elle est considérée comme une négligence contributive, auquel cas la politique de 30 millions de dollars ne peut payer que 5 millions de dollars ou moins compte tenu de la faiblesse des capacités de cybersécurité de l'entreprise au moment de l'incident.
La première chose à faire est donc que les gouvernements doivent rendre illégaux tous les paiements de rançon et d'extorsion, les PDG et les membres du conseil d'administration étant condamnés à des peines de prison s'ils enfreignent les règles. (Beaucoup se cachent actuellement derrière l'assurance des administrateurs, donc les amendes ne fonctionneront pas). Dans ce contexte, un meilleur suivi interbancaire des achats de bitcoins ou d'autres crypto-devises est nécessaire afin de savoir qui achète des cryptos et pour quelle raison en rapport avec les modifications législatives ci-dessus. Les défenseurs de la vie privée auront probablement du mal avec cela, mais si nous voulons nous attaquer au problème de la cybercriminalité et des rançongiciels, c'est un coût que nous devrons supporter.
Le deuxième domaine dans lequel le gouvernement peut contrecarrer la croissance des ransomwares est un meilleur suivi des transactions de crypto-monnaie et un suivi des crypto-portefeuilles utilisés pour le crime. Le FBI aux États-Unis a récemment obtenu de bons résultats dans ce domaine et pour avoir aidé à récupérer certains paiements de rançon, mais il est loin d'être complet ou parfait.
Le troisième domaine consiste à poursuivre les auteurs de ces crimes. Cependant, la grande majorité des attaques de rançongiciels proviennent des anciens États soviétiques. Peu de pays ont des traités d'extradition avec la Communauté des États indépendants, donc tant que ces auteurs ne quittent pas cette région, ils peuvent opérer en toute impunité.
Ce dont le monde a vraiment besoin, c'est d'une convention internationale sur la cybercriminalité qui oblige tous les pays du monde à ratifier l'accord en échange d'un accès au système financier international comme incitation, sinon il est peu probable que les pays qui profitent le plus de la cybercriminalité acceptent de participer – La Chine, la Russie, la Corée du Nord et l'Iran notamment. Alors que la Convention de Budapest était un pas dans la bonne direction, elle n'a pas une application universelle. Même le Manuel de Tallin manque de la « ligne dans le sable » nécessaire pour empêcher les États-nations de lancer des cyberattaques les uns contre les autres.
Alors que la plupart des pays s'accordent à dire que les rançongiciels sont désormais totalement incontrôlables et qu'ils pèsent bien dans la taille du produit intérieur brut des petits pays, il est peut-être temps que les gouvernements interviennent plus directement, soit en imposant des coûts écrasants aux pays qui cachent et protègent les cyber criminels, ou par une action directe pour arrêter ou faire sortir directement les auteurs, quel que soit l'endroit où ils se cachent.
En tant que société mondiale, les gouvernements responsables doivent collectivement tracer une ligne dans le sable pour indiquer quand une cyberattaque va trop loin et stipuler les répercussions. Sans cela, les criminels et les États-nations parias continueront de repousser les limites de l'acceptabilité.
A propos de l'auteure
Richard Staynings est le stratège en chef de la sécurité de la société de cybersécurité IoT Cylera et est professeur auxiliaire de cybersécurité à l'Université de Denver. Il siège à un certain nombre de comités gouvernementaux et non gouvernementaux et a passé les 25 dernières années à aider à protéger des entreprises, d'autres organisations et des pays contre les cyberattaques.
