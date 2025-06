Severna Karolina je prva ameriška zvezna država, ki je prepovedala plačila zaradi izsiljevalske programske opreme in sprejela celo prepoved pogajanj s kibernetičnimi zločinci. To je bila prelomna odločitev, ki jo je leta 2022 posnemala še Florida, vendar je tamkajšnja zakonodaja manj stroga in vključuje manj kaznivih dejanj, blažje so tudi kazni.

Nikki Davidson, TNS

To sta tudi edini prepovedi na ameriški državni ravni, ki pa sta kljub temu sprožili razprave na zvezni ravni o tem, kako bi se najučinkoviteje zoperstavili tej razširjeni kibernetični grožnji. Strokovnjaki še danes niso prišli do enotnega sklepa, ali je to sploh ustrezen pristop.

Srž težave tiči v moralni in fiskalni dilemi: bi se države morale odločiti, da ne bodo financirale zločinskih podjetij, čeprav bi s tem morda povzročile motnje v preskrbi z osnovnimi storitvami, ki jih nudijo bolnišnice, šole in ustanove za zagotavljanje javne varnosti? Kaj, če bi visoka moralna drža, zaradi katere ne bi plačevale izsiljevalcem, davkoplačevalce dolgoročno stala več zaradi prekinitev storitev, stroškov odpravljanja škode in možnosti nadaljnjih napadov?

Varuhi reda in miru, na primer FBI, odločno nasprotujejo plačevanju izsiljevalcem, saj se bojijo, da bi tako le še spodbudili kibernetične kriminalce. Kljub temu pa se marsikateri organizaciji zdi, da nima druge izbire, kot da plača.

»Prepoved se zdi smiselna, dokler izsiljevanja ne doživiš na lastni koži,« pa je opozoril Mark Weatherford, višji strokovni delavec v Središču za digitalno vlado. »Težko je biti načelen, ko ti nekdo drži pištolo na čelu.«

Meredith Ward, namestnica direktorja Nacionalne zveze državnih vodij informacijskih služb (NASCIO), se zaveda zapletenosti težave: »Ne moremo govoriti o nasprotujočih si stališčih, temveč o različnih.« Poudarila je, da njena nacionalna organizacija nima uradnega stališča, ali bi morale agencije prepovedati plačila, saj se zaveda različnih potreb in razmer v posameznih zveznih državah. Prepričana pa je, da bi morale te same presoditi, ali je prepoved plačil ustrezen pristop.

Je odgovor prepoved na zvezni ravni? Dokončne odločitve še ni.

Dilema podatkov: nejasen vpliv obstoječih prepovedi

Ob tehtanju razlogov za prepoved plačevanja izsiljevalcem in proti njej se izlušči ključno vprašanje, ali bi takšna prepoved tudi delovala.

Vodja informacijske službe Severne Karoline James Weaver je povedal, da je ocena uspešnosti na podlagi trenutno razpoložljivih podatkov zahtevna. Država od lokalnih oblasti zahteva poročanje o vseh večjih kibernetičnih incidentih, vendar je učinek prepovedi težko ločiti od drugih dejavnikov, ki vplivajo na število napadov.

»Trudimo se, da se o tej možnosti ne bi niti razpravljalo,« je poudaril Weaber, »saj se morajo agencije zdaj po navodilih nemudoma posvetiti okrevanju, ne pa pogajanjem s kibernetičnimi nepridipravi.«

Kot kažejo podatki državnega tožilstva Severne Karoline, je število izsiljevanj s programsko opremo po letih vztrajnega naraščanja leta 2023 v primerjavi z letom prej nekoliko upadlo. Še vedno pa napade štejejo v stotinah: v Severni Karolini je bilo leta 2023 843 kaznivih dejanj, povezanih z izsiljevalsko programsko opremo tako v javnem kot zasebnem sektorju.

Weaver pravi, da prepoved plačevanja izsiljevalcem ni zdesetkala takšnih napadov in da bo treba določiti izhodiščno vrednost za merjenje dejanskega učinka nove zakonodaje. »Ne morem odločno zatrditi, da je napadov manj.«

Kljub temu upa, da se bo tok opazno spremenil.

»Upajmo, da se bo dolgoročno pokazal učinek, ko bo presahnil vir sredstev, na katerega računajo ti malopridneži,« je še dodal. Zaveda se, da so nekateri dejavniki motivirani iz drugih razlogov, ne finančnih, recimo iz želje po ustvarjanju nereda in po zbujanju pozornosti v vse večji množici hekerjev.

Zdi se mu, da bi zakonodaja učinkovala bolje, če bi veljala za vse.

»Če bi jo sprejeli vsi, se koristoljubni napadi z izsiljevanjem ne bi več ponavljali,« je prepričan Weaver. »Vsak mora prispevati svoj delež. Če bi sodelovale celotne ZDA, bi bilo to enkratno.«

Na kocki je veliko

Posledice izsiljevanja niso le finančne in operativne, temveč so lahko uničevalne za prebivalstvo.

Napadi so namreč že ohromili klic v sili na številko 911, zato se je podaljšal odzivni čas. Zaradi njih se je prekinila dobava elektrike, od katere smo danes ljudje življenjsko odvisni. Napadi imajo tudi učinek domin in katastrofalne posledice predvsem za najranljivejše skupine prebivalstva.

Weatherford trdi, da bi bila vsesplošna prepoved nemara učinkovita pred leti, vendar so se razmere zdaj preveč zaostrile in se kriminalci dobro zavedajo, kaj vse je na kocki. Učinkovitejša rešitev bi bila, da bi se svet, vključno z državami, kot sta Kitajska in Rusija, proti kriminalu bojeval tako, da bi zločince poklical na odgovornost.

»Kot globalna skupnosti bi morali odločno reči, da jih bomo poiskali in da se ne morejo skriti,« je poudaril. »Ta kazniva dejanja bi morali obravnavati kot najhujše zločine, pa ne le zato, ker ljudje umirajo, temveč tudi zaradi drugih resnih posledic za organizacije.«

Tako ali drugače je treba plačati ceno

Danes podatki niso le enke in ničle, temveč kri sodobnega vodenja države.

Finančne izgube zaradi izsiljevalskih programov danes in v prihodnih letih bodo astronomske, če ne bo mogoče obnoviti podatkov.

»Lahko sicer rečemo, da nismo plačali, v resnici pa je ceno plačala javnost,« je pojasnil Alan Shark, direktor Public Technology Institute. »Če lokalne oblasti ne morejo opravljati storitev za svoje občane, to ni mačji kašelj, zato lahko razumete pomisleke.«

Cena, ki jo zahtevajo kriminalci, se zvišuje. V prvem napadu z izsiljevalsko opremo leta 1989 – z disketo – je nepridiprav za dešifriranje dokumentov zahteval nekaj sto dolarjev. Danes izsiljevalci zahtevajo tudi milijone dolarjev.

Napadene organizacije morajo poleg cene vnovične postavitve poškodovanih sistemov včasih poravnati tudi škodo, ker jim ni uspelo zaščititi podatkov.

»Te obveznosti sicer ne boste našli v zakonu, se pa razume, in to je, da država mora ukrepati,« je še dodal Shark. »To morda pomeni, da bo morala za leto ali dve financirati nadzor in opazovanje, a če upoštevate škodo, povzročeno tisočim, če ne milijonom državljanov, bi to ponekod stalo zelo veliko.«

A zvišuje se tudi cena, ki jo zahtevajo kriminalci.

Razmere so še bolj zapletene, ker ni jamstva, da bodo po plačani odkupnini šifrirani podatki spet sproščeni. Vzpon izsiljevalske opreme kot storitve je demokratiziral kibernetične zločine in celo zelenim hekerjem omogoča izvesti zahtevne napade.

Shark je izpostavil, da so dobro organizirane združbe za izsiljevanje spoštovale svoja pravila igre, a je to zaupanje načeto zaradi priliva novih igralcev, ki delujejo drugače.

Poročilo obveščevalne enote podjetja za kibernetsko varnost Sohpos navaja, da so potencialni hekerji na spletnih forumih oglaševali okoli 15 različic izsiljevalske programske opreme s ceno od skromnih 50 do tisoč dolarjev za mesečno naročnino.

V preteklosti niso zabeležili primerov, da se izsiljevalci ne bi držali dogovora, ambiciozni novinci na črnem trgu naročnin pa v nasprotju s starimi mački ne spoštujejo vedno pravil igre.

»Vsakdo se lahko čez noč sprevrže v kriminalca,« je komentiral Shark. »Zdaj ljudje postajajo malomarni in se računalniški kod včasih nepreklicno izbriše. V nekaj primerih je žrtev plačala, pa izsiljevalci kljub temu niso sprostili dokumentov.«

Zaradi te negotovosti je odločitev za plačilo odkupnine postala še zahtevnejša, sploh za javne agencije vseh velikosti. Shark sklepa, da bi enotna prepoved plačevanja morda preveč poenostavljen pristop, saj je področje izsiljevalske programske opreme izjemno kompleksno.

Agencije ne marajo razglašati kibernetičnega zavarovanja, saj se bojijo, da bi s tem še dodatno privabljale kibernetične zločince.

»Zakon o prepovedi plačevanja izsiljevalcem je vsekakor dobronameren, a ima preveč lukenj, da bi ga resno jemali,« meni Shark.

Kibernetično zavarovanje: dejavnik, ki dodatno zapleta razmere

Agencije ne marajo razglašati kibernetičnega zavarovanja, saj se bojijo, da bi s tem še dodatno privabljale kibernetične zločince. In to je še en dejavnik v razpravi o prepovedi plačevanja odkupnin.

Kibernetično zavarovanje je vse težje skleniti, saj številni ponudniki zahtevajo obsežne varnostne ukrepe. Poleg tega zavarovalna pogodba pogosto predpisuje takojšnje obveščanje v primeru napada, kar bi lahko vplivalo na odziv agencij v primeru izsiljevanja.

Weaver je potrdil, da je prepoved plačevanja odkupnin vplivala na odnose z zavarovalnimi družbami.

»Včasih si želijo možnosti, da bi se pogajale, pa jih moramo opomniti, da v Severni Karolini ta možnost ne obstaja, in jim svetujemo, naj se raje osredotočijo na reševanje težave,« je pojasnil.

Kibernetično zavarovanje velja za kontroverzno, vendar lahko pripomore k zmanjšanju finančnega vpliva napadov z izsiljevanjem. Weatherford je izpostavil, da so se zavarovalnice nekajkrat že uspešno pogodile za zmanjšanje zneska odkupnine.

»Včasih se nepridipravi raje pogajajo z zavarovalnico, ker to vidijo kot odnos med poslovnimi strankami,« je dodal Weatherford.

Shark pa ima pomisleke o etiki zavarovalnic, ki plačajo odkupnino v imenu javnih agencij.

»Eno je, če lokalne oblasti izpraznijo svojo blagajno,« je rekel in namignil, da zasebna zavarovalnina briše meje med javno in zasebno odgovornostjo. »Če denar pride od zavarovalnice, to ni več javni denar – primerljivo je z avtomobilskim zavarovanjem.«

Če bi zavarovalnice vedele, da plačilo odkupnine ne pride v poštev, bi to verjetno ohladilo trg s kibernetičnimi zavarovanji, meni Shark.

Razprava še traja in Wardova iz zveze NASCIO upa, da bo letos, po lanskem volilnem letu v ZDA, še katera od zveznih držav sprejela zakone o prepovedi izplačila odkupnin, čeprav se zaveda, da se zaradi nepredvidljivost kibernetičnih groženj lahko razplete tudi drugače.

»Le en odmeven incident se mora zgoditi,« je komentirala Wardova. »Nemogoče je napovedati, kaj podžge zvezno državo, da uvede novost in vztraja pri njenem uresničevanju.«

Nadgrajuje se tudi sama tema o prepovedi plačevanja odkupnin zaradi izsiljevalske programske opreme, saj ne gre za preprosto izbiro, kaj je prav in kaj napačno, temveč iskanje ravnovesja med pomembnimi dejavniki in najmanj boleče poteze v igri z visokimi stavami.