Det siste året har det vært to lovforslag i Storbritannia som har fokusert på problemet med ransomware-betalinger fra britiske bedrifter. Dette fokuset fra den britiske regjeringen kan signalisere et skifte i retning av å forby slike betalinger eller sette bedrifter overfor vanskelige valg. Dan Raywood undersøker detaljene.

I fjor startet den britiske regjeringen en aksjon mot nettkriminelle med lovforslag Det ville gjøre betaling av løsepenger ulovlig for visse sektorer. Mer spesifikt ville offentlige organer og operatører av kritisk nasjonal infrastruktur – inkludert NHS, lokale råd og skoler – bli forbudt å betale løsepengekrav. Andre virksomheter som ikke er omfattet av forbudet, ville bli pålagt å varsle myndighetene om enhver intensjon om å betale.

Sikkerhetsminister Dan Jarvis sa at forslaget tar sikte på å «knuse den nettkriminelle forretningsmodellen» og beskytte viktige tjenester. Ved å samarbeide med industrien, sa han, «sender vi et klart signal om at Storbritannia står samlet i kampen mot løsepengevirus».

Konsultasjonen varte i 12 uker (fra 14. januar til 8. april 2025) og foreslo:

  1. Et målrettet forbud mot løsepengevirusbetalinger for regulert kritisk nasjonal infrastruktur og offentlig sektor.
  2. Et regime for forebygging av løsepengevirusbetalinger.
  3. Et obligatorisk regime for hendelsesrapportering.

Disse tiltakene ville representere den første spesifikke britiske lovgivningen som er utformet for å motvirke løsepengevirus, med det sentrale målet å beskytte offentlige tjenester og kritisk infrastruktur mot forstyrrelser.

Crystal Morin, senior nettsikkerhetsstrateg hos Sysdig, sa i en kommentar at forbedring av rapportering av ransomware-hendelser ikke er en overilet reaksjon, men en strategisk tilpasning til et raskt utviklende trussellandskap.

«Høyprofilerte hendelser det siste året har vist hvordan ransomware kan forstyrre kritiske tjenester og påvirke hverdagen», sa hun. «Disse hendelsene viser at cyberangrep, uansett hvor isolerte de kan virke, utgjør en reell risiko for nasjonal sikkerhet og offentlig velferd.»

Positiv respons

Konsulent og policyspesialist Jen Ellis bemerker den «overveldende positive responsen» på myndighetenes konsultasjon rundt ideen om et forbud. Hun antyder at dette delvis skyldes at selskaper ønsker å kunne fortelle kundene at de juridisk sett ikke kan betale løsepenger, og at de rett og slett følger loven.

Hun påpeker også at noen mener at løsepengevirus utelukkende er profittdrevet, og at det å fjerne profittmotivet vil eliminere kriminaliteten. Dette overser imidlertid faktorer som involvering av organiserte kriminelle grupper knyttet til mer voldelige aktiviteter, inkludert menneskehandel.

«Det tar ikke hensyn til omfanget av penger som tjenes eller mangelen på effektiv håndheving», sier Ellis. «Angriperne opererer ustraffet og kan målrette de mest sårbare organisasjonene til liten kostnad for seg selv.»

«Det ignorerer også det faktum at vi opererer på et globalt internett. Et forbud i Storbritannia beskytter ikke organisasjoner mot aktivitet som finner sted andre steder.»

Ny faktor

Mens konsultasjonen venter på neste fase, dukket det opp en ytterligere utvikling i oktober da parlamentsmedlem Bradley Thomas introduserte en privat medlems regning i 2025. Lovforslaget vil kreve at selskaper som oppfyller spesifikke kriterier rapporterer ethvert cyberutpressings- eller ransomware-angrep til myndighetene innen en definert tidsramme.

Thomas la frem lovforslaget og bemerket at det for øyeblikket ikke er noe krav for selskaper å opplyse om når en løsepengebetaling er foretatt, til tross for den økonomiske byrden slike betalinger medfører. Forslaget hans vil kreve at ethvert selskap registrert under aksjeloven av 2006 med en årlig omsetning på over 25 millioner pund – eller ansvar for kritisk nasjonal infrastruktur – varsler myndighetene innen 72 timer etter å ha blitt offer.

En ytterligere rapport ville være nødvendig dersom selskapet eller en tredjepart på dets vegne foretar betalinger, igjen innen 72 timer. Thomas erkjente bekymring for omdømmeskade, men sa at robust juridisk beskyttelse ville sikre at rapporter forblir konfidensielle med mindre offentliggjøring anses å være i nasjonal interesse.

«Fraværet av obligatorisk rapportering, spesielt for løsepenger, skaper en farlig blindsone i vår nasjonale sikkerhet», sa han. «Når selskaper rapporterer disse betalingene, får sikkerhetsorganene våre viktig informasjon om hvem som er målrettet og hvordan angrepene utvikler seg.»

Morin sa at obligatorisk rapportering ikke handler om å ydmyke organisasjoner, men om å styrke det kollektive forsvaret. «Når organisasjoner rapporterer hendelser, får sikkerhetsteam innsikt i nye taktikker og sårbarheter, slik at de kan reagere raskere og forhindre større skade.»

Hun la til at selv om frykten for omdømmet er forståelig, inkluderer det foreslåtte rammeverket sikkerhetstiltak for å begrense offentliggjøring til unntakstilfeller. «Et obligatorisk, men 'skamfritt' rapporteringssystem anerkjenner denne realiteten.»

Avskrekkende løsepengevirusangrep

Ellis uttalte seg om forslagene og fortalte ISMS.online at hun ikke tror et landsdekkende betalingsforbud ville avskrekke angrep i vesentlig grad. «De fleste ofre blir angrepet opportunistisk fordi de er koblet til internett. Infeksjoner bare skjer.»

«Jeg tror ikke et betalingsforbud vil være effektivt med mindre det er globalt», sa hun. «Angriperne vil tilpasse seg.»

Ellis sa at nøkkelen er å normalisere rapporteringen. «Vi må ta brodden av rapporteringen og forbedre vår forståelse av hva som skjer. Vi kan ikke gjøre det hvis folk ikke rapporterer.»

«Rapportering vil ikke løse problemet, men det vil gi oss en bedre forståelse av dets virkelige omfang.»

Ellis sa at det er vanskelig å forutsi hvorvidt bedrifter fortsatt ville betale i hemmelighet hvis et forbud ble innført. Hun har snakket med bedriftseiere som mener de ikke ville ha noe valg dersom de sto overfor en eksistensiell trussel.

Hun fremhevet også potensielle konsekvenser for cyberforsikring. «Hvis det er ulovlig å betale, dekker ikke forsikringen det. I stedet må forsikringsselskapene dekke kostnadene ved å få pengene tilbake, noe som kan føre til at de krever sterkere tiltak for å motstå problemer.»

Thomas' lovforslag skal behandles til andre gangs behandling i mai, og begge forslagene har som mål å begrense løsepengebetalinger. For bedrifter der betaling ser ut til å være det eneste alternativet, kan imidlertid alternativene være begrensede.

forskning fra Sophos i 2025 fant at nesten 50 % av selskapene betalte løsepenger for å gjenopprette dataene sine. En annen forslag søker å forbedre standardene for robusthet for britiske bedrifter.

Til syvende og sist ser det ut til at de fleste interessentene støtter rapporteringskrav, men spørsmålet om hvorvidt man skal betale vil bli mer komplekst under et juridisk mandat. Nå er det på tide at organisasjoner styrker motstandskraften og bestemmer seg for om de kan overleve uten å kjøpe seg ut av nettkriminalitet.