В Великобритании компаниям настоятельно рекомендуют не платить выкуп киберпреступникам
Управление уполномоченного по информации (Information Commissioners, ICO) и Национальный центр кибербезопасности Великобритании (National Cybersecurity Center, NCSC) опубликовали совместное письмо для юристов, оказывающих услуги компаниям, подвергшимся кибератакам. В этом письме ведомства критикуют распространённую практику выплаты выкупов киберпреступникам для уменьшения штрафа от ICO, указывая, что это никак не поможет смягчить наказание регулятора. Кроме того, платёж не гарантирует ни возврата украденных данных, ни того, что в будущем компания будет тщательнее следить за информационной безопасностью. ICO и NCSC заявили, что не поддерживают решения об оплате выкупов и настоятельно рекомендуют организациям вместо этого заняться работой по улучшению систем кибербезопасности.
Вероятно, посредством выкупа компании рассчитывают вернуть украденные данные до заявления в регулирующие органы, или предотвратить появление этих данных в Сети. Однако ICO и NCSC рассчитывают, что компании будут извлекать уроки из происходящих инцидентов и усиленно работать над безопасностью своих систем, поскольку практика выкупов не гарантирует решения проблемы. Кроме того, это может только увеличить число злоумышленников и атак, желающих получить деньги за уже налаженные пути взлома.
В своём заявлении гендиректор NCSC Линди Кэмерон заявила, что в последнее время ведомства наблюдают рост платежей злоумышленникам. Юридический сектор играет жизненно важную роль в регулировании этой проблемы, поскольку именно он рекомендует компаниям выплачивать деньги вымогателям для смягчения последствий проверок. Однако сделать это можно, только своевременно сообщив об инциденте в NCSC или ICO, а также в Action Fraud. Там компаниям дадут рекомендации, и только подтверждение их выполнений способно смягчить регуляторов.