Reino Unido vai proibir o setor público de fazer pagamentos de ransomware

O Reino Unido está a avançar com a proibição do seu setor público e dos operadores de infraestruturas nacionais críticas de pagarem exigências de *ransomware*. As propostas divulgadas na terça-feira, como resultado de uma consulta pública, apelam a uma proibição de pagamentos de *ransomware* que abranja todos os organismos do setor público e infraestruturas nacionais críticas, como energia, serviço de saúde e conselhos locais — expandindo uma proibição existente aos departamentos governamentais. Outras partes da proposta incluem um regime de prevenção para exigir que as vítimas e as empresas não abrangidas pela proibição relatem quando pretendem pagar um resgate. Um sistema de relatório obrigatório baseado em limiares que exige que as vítimas redijam um relatório com detalhes importantes para o governo dentro de 72 horas após o ataque, e uma análise mais aprofundada dentro de 28 dias, também está em cima da mesa. O ministro da segurança do Reino Unido, Dan Jarvis, disse que o Ministério do Interior está “determinado a destruir o modelo de negócio dos cibercriminosos e a proteger os serviços em que todos confiamos” e a trabalhar “em parceria com a indústria para promover estas medidas”. *Ransomware* é um *software* malicioso que encripta um computador ou rede para bloquear o acesso até que uma quantia seja paga, que é normalmente solicitada em criptomoeda. O *ransomware* diminuiu no ano passado, com a Chainalysis a relatar em fevereiro que os ataques de *ransomware* diminuíram 35% no ano passado em comparação com 2023. Em junho, a CertiK disse que a maior parte das perdas de criptomoedas este ano foram devido a compromissos de carteiras e ataques de *phishing*. O Ministério do Interior do Reino Unido consultou sobre as propostas de 14 de janeiro a 8 de abril e recebeu 273 respostas, 57% identificadas como organizações, 39% indivíduos e 4% classificadas como outras. Quase três quartos concordaram que uma proibição direcionada de pagamentos de *ransomware* era justificada, enquanto um pouco mais de um em cada cinco discordou. Também houve opiniões mistas sobre o regime de prevenção, com quase metade a favorecer uma proibição de pagamento de *ransomware* em toda a economia. A terceira proposta para um sistema de relatório baseado em limiares teve 63% dos entrevistados a favor, e menos da metade — 41% — concordou em continuar o atual sistema de relatório voluntário. Um ponto de discórdia foram as possíveis penalidades para as vítimas que violassem as medidas. Os entrevistados concordaram com o uso de penalidades em todas as propostas; no entanto, foram levantadas preocupações sobre a criminalização das vítimas e se as penalidades criminais ou civis seriam adequadas. O Ministério do Interior disse que, como o *feedback* sobre as penalidades foi misto, “continuaria a explorar as penalidades mais apropriadas e proporcionais”. A Revisão Anual do Centro Nacional de Segurança Cibernética do Reino Unido de 2024, divulgada em dezembro, descobriu que os ataques de *ransomware* “continuam a representar a ameaça mais imediata e disruptiva” para o país. De acordo com a revisão, em junho de 2024, um ataque de *ransomware* ao laboratório de patologia Synnovis atrasou procedimentos eletivos e consultas ambulatoriais. Outro ataque em 28 de outubro de 2023 comprometeu os sistemas *online* da Biblioteca Britânica. Relacionado: Coinbase enfrenta uma conta de $400M após ataque de *phishing* interno A diretora executiva da Biblioteca Britânica, Rebecca Lawrence, disse em um comunicado na terça-feira que a biblioteca “detém uma das coleções de conhecimento humano mais significativas do mundo” e que o ataque “destruiu nossa infraestrutura tecnológica e continua a impactar nossos usuários”. Na segunda-feira, os republicanos da Câmara dos EUA procuraram cortar o orçamento de 2026 da Securities and Exchange Commission em 7% e incluíram uma disposição que bloqueava o financiamento para a aplicação de uma regra que exige que as empresas públicas divulguem incidentes cibernéticos em quatro dias. Em novembro, a Austrália promulgou leis que entraram em vigor em maio que exigem que as empresas com um volume de negócios anual superior a 3 milhões de dólares australianos (1,9 milhão de dólares) e as entidades responsáveis por infraestruturas críticas relatem as exigências de *ransomware*. O país havia considerado anteriormente se os pagamentos de *ransomware* deveriam ser tornados ilegais depois que um ataque cibernético atingiu o credor ao consumidor Latitude Financial, mas foi rejeitado na época. Revista: Devemos proibir os pagamentos de *ransomware*? É uma ideia atraente, mas perigosa [Revista]