Το πρώτο νομοσχέδιο (S7246) προτάθηκε από τον Ρεπουμπλικάνο γερουσιαστή Phil Boyle στις 14 Ιανουαρίου, ενώ το δεύτερο (S7289) από τον Δημοκρατικό David Carlucci στις 16 Ιανουαρίου.
Τα δύο νομοσχέδια είναι παρόμοια. Η μόνη διαφορά είναι ότι το S7246 προτείνει επίσης τη δημιουργία ενός κρατικού ταμείου για τη βελτίωση της ασφάλειας στον κυβερνοχώρο.
“Το Cyber Security Enhancement Fund θα διαθέσει επιχορηγήσεις και θα προσφέρει οικονομική βοήθεια σε χωριά, κοινότητες και πόλεις με πληθυσμό ενός εκατομμυρίου (ή λιγότερο) με σκοπό την αναβάθμιση της κυβερνοασφάλειας της τοπικής κυβέρνησης“, αναφέρει το κείμενο του νομοσχεδίου S746.
Είναι η πρώτη φορά που οι κρατικές αρχές των ΗΠΑ προτείνουν ένα νόμο που απαγορεύει ρητά την πληρωμή λύτρων μετά από μια επίθεση ransomware.
Τον Ιούλιο, η Διάσκεψη των Δημάρχων των Ηνωμένων Πολιτειών αποφάσισε ομόφωνα να μην δίνονται τα λύτρα που ζητούν οι συμμορίες ransomware. Ωστόσο, δεν ήταν μια επίσημη απόφαση.
“Είμαστε υπέρ αυτής της νομοθεσίας καθώς δημιουργεί συζήτηση και ευαισθητοποιεί το κοινό για το πρόβλημα αυτό”, δήλωσε ο Bill Siegel, Διευθύνων Σύμβουλος και συνιδρυτής της Coverware. Η Coverware
είναι μια εταιρεία ασφαλείας που ειδικεύεται στα ransomware αφού βοηθά τα θύματα να ανακάμπτουν από τέτοιες επιθέσεις, ενώ μερικές φορές διαπραγματεύεται τις πληρωμές με τους hackers.“Δεν πιστεύω ότι θα μειωθούν άμεσα οι επιθέσεις στους οργανισμούς της Νέας Υόρκης, ίσως ακόμη και να αυξηθούν, καθώς οι συμμορίες ransomware μπορεί να προσπαθήσουν να δοκιμάσουν την αποφασιστικότητα αυτών των οργανισμών”, δήλωσε ο Siegel.
Ωστόσο, ο Siegel έχει κάποιες επιφυλάξεις σχετικά με την εφαρμογή ενός τέτοιου νόμου. Εάν η πληρωμή των λύτρων γίνει παράνομη, τι θα συμβεί στην περίπτωση που ένα δημόσιο νοσοκομείο δεχτεί μια ransomware επίθεση; Αυτές οι επιθέσεις μπορούν να διακόψουν ζωτικής σημασίας λειτουργίες που μπορούν να θέσουν σε κίνδυνο τη ζωή των ασθενών. Τι θα συμβεί αν, για παράδειγμα, κάποιος χάσει τη ζωή του επειδή δεν βρέθηκε άμεσα μια λύση για την επαναφορά των συστημάτων; Ο θάνατος ίσως να είχε αποτραπεί αν γινόταν άμεσα η πληρωμή των λύτρων. Επιπλέον, είναι οι δημόσιες και κυβερνητικές υπηρεσίες επαρκώς προετοιμασμένες και εξοπλισμένες με τα κατάλληλα σχέδια DR (disaster recovery), συστήματα backup και προγράμματα ασφαλείας; Όλα αυτά είναι απαραίτητα τόσο για την πρόληψη όσο και για την αποτελεσματική αντιμετώπιση μιας επίθεσης.
Ο Siegel δήλωσε ότι η εταιρεία του έχει βοηθήσει πολλούς δημόσιους οργανισμούς να ανακάμψουν μετά από μια ransomware επίθεση.
Σύμφωνα με την εταιρεία Emsisoft, 113 κρατικές και τοπικές κυβερνήσεις και οργανισμοί χτυπήθηκαν από ransomware το 2019. Πολλοί από αυτούς τους οργανισμούς βρίσκονταν στη Νέα Υόρκη.