Vương quốc Anh cấm khu vực công chi trả tiền chuộc ransomware, nhưng vẫn còn tranh cãi gay gắt về việc có nên hình sự hóa các nạn nhân vi phạm.
Ngày 22/7, Chính phủ Vương quốc Anh đưa ra các đề xuất nhằm cấm hoàn toàn việc các cơ quan công quyền và đơn vị vận hành hạ tầng quốc gia trọng yếu trả tiền chuộc trong các vụ tấn công ransomware.
Theo Bộ Nội vụ Anh, động thái này nhằm phá vỡ mô hình kinh doanh của tội phạm mạng, đồng thời bảo vệ các dịch vụ công thiết yếu như y tế, năng lượng và chính quyền địa phương. Lệnh cấm lần này mở rộng hơn so với quy định trước đây vốn chỉ giới hạn ở các bộ ngành trung ương.
Các đề xuất được công bố sau đợt tham vấn công khai từ tháng 1 đến tháng 4, thu hút tổng cộng 273 phản hồi. Gần 75% người tham gia đồng tình rằng lệnh cấm là hợp lý. Tuy nhiên, một điểm tranh luận lớn xuất hiện xung quanh vấn đề áp dụng các hình phạt đối với những nạn nhân vi phạm.
Mặc dù đa số ý kiến ủng hộ việc áp dụng các biện pháp chế tài, nhưng vẫn tồn tại nhiều lo ngại về khả năng hình sự hóa các nạn nhân, cũng như sự chưa thống nhất giữa việc áp dụng chế tài dân sự hay hình sự. Bộ Nội vụ cho biết sẽ tiếp tục cân nhắc các hình thức xử lý phù hợp và cân bằng nhất.
Lệnh cấm này được thúc đẩy bởi thực trạng ransomware được Trung tâm An ninh mạng Quốc gia Anh (NCSC) xác định là mối đe dọa nghiêm trọng và gây gián đoạn nhất đối với đất nước. Các cuộc tấn công gần đây, như vụ việc vào tháng 6 nhắm vào phòng thí nghiệm Synnovis làm gián đoạn nhiều ca phẫu thuật và lịch khám bệnh, hay vụ tấn công vào tháng 10 năm 2023 khiến hệ thống của Thư viện Quốc gia Anh hoàn toàn bị tê liệt, đã làm nổi bật tính cấp bách của vấn đề này.
Trong khi Anh chọn giải pháp cứng rắn, các quốc gia khác lại có cách tiếp cận đa dạng hơn. Tại Mỹ, Đảng Cộng hòa tại Hạ viện gần đây đề xuất cắt giảm ngân sách thực thi các quy định của SEC vốn yêu cầu doanh nghiệp báo cáo sự cố an ninh mạng trong vòng bốn ngày.
Ngược lại, Úc ban hành luật yêu cầu các doanh nghiệp báo cáo bắt buộc khi nhận được yêu cầu trả tiền chuộc, song từ chối biện pháp hình sự hóa việc thanh toán. Sự thiếu đồng thuận trong cách tiếp cận của các nước phản ánh một bài toán phức tạp về cân bằng giữa mục tiêu răn đe tội phạm mạng và nhu cầu bảo vệ các nạn nhân của ransomware.
