英国计划禁止公共部门组织向勒索软件黑客支付赎金

英国政府近日提出新计划，拟禁止公共部门和关键基础设施组织向勒索软件黑客支付赎金。英国内政部已启动相关咨询，提议实施“针对性禁令”，禁止公共部门机构（如地方议会、学校和NHS信托基金）支付赎金，以打击网络犯罪的经济基础。

背景与动机

此提案是在英国公共部门遭受多起网络攻击后提出的。去年，NHS因病理实验室提供商Synnovis遭网络攻击而宣布进入“危急”状态，导致大量患者数据泄露及数月混乱，包括手术取消和急诊患者转移。新数据显示，该事件对数十名患者造成伤害，至少两例导致长期或永久性健康损害。

提案内容

除禁止支付赎金外，提案还计划将关键基础设施组织（如能源和通信企业）支付赎金的行为定性为刑事犯罪。同时，英国还计划建立强制性勒索软件事件报告制度，要求不受禁令约束的网络攻击受害者向政府报告事件。此外，政府将有权阻止向受制裁实体支付赎金，以防止资金流向不当渠道。

安全部长表态

安全部长Dan Jarvis强调，2023年全球有约10亿美元流入勒索软件犯罪分子手中，英国必须采取行动保护国家安全。这些提案旨在应对勒索软件威胁的规模，打击犯罪网络的经济来源，切断其关键资金渠道。

网络安全现状

据英国内政部数据，截至2024年8月的一年内，英国国家网络安全中心处理了430起网络事件，包括13起“具有国家重大意义”的勒索软件事件，主要由与俄罗斯有关的犯罪团伙实施，对英国关键基础设施构成威胁。2024年10月，英国国家犯罪局对LockBit勒索软件团伙采取行动，该团伙与对NHS IT供应商Advanced的网络攻击有关。

未来展望

英国尚未明确是否将该措施提交议会审议，内政部的咨询将于2025年4月结束。在美国，虽长期敦促不支付赎金，但未实施全国性禁令。2023年10月，由美国领导的40多国联盟承诺，作为政府，不向网络犯罪分子支付赎金，以切断黑客收入来源。