Fler attacker med utpressnings­program än någonsin

Problemet är pengar.

Jag ser det lite som när jag var liten och man gick ensam ute på kvällen så kunde mycket hemska saker hända, rädsla att bli rånad var dock inte stor för det fanns inte så mycket att ta. Samma när elever gick hem och till skolan, de där matematikböckerna och annat som fanns i väska var inte så intressant för ungdomar att sno. De kunde dock göra andra saker.

Nå exakt samma sak inom IT. Att förhindra att utbetalningar sker stoppar inte allt, folk förr hackade hemsidor och annat utan att få en krona. Men det var en mindre skara som gjorde det, speciellt de som la ner väldigt mycket tid.

*edit*
Hur vore det med att ställa krav på åtgärdsplan om något händer? Precis allt kan gå sönder, av hur många anledningar som helst.
Har man då redan innan planerat för att hantera dessa problem, så kan man göra dessa problem mindre.
Som att inte ha lösningar som innebär att kunder ej kan handla i en butik bara för att något datorsystem är nere, det är egentligen skitsamma vad orsaken det är nere är. De ska ha ett system som klarar av att hantera detta med minimal "affärs/driftbortfall".

Inte bara pengar i sig, utan just kombinationen att det nu går att ta betalt och att det går att utnyttja internationella skillnader sett till lagstiftning osv.

Hela "affärsidén" som fick ordentlig snurr på detta är ju just att man kan sitta i exempelvis Ryssland och vara skyddad rättsligt så länge man bara attackerar mål i väst, och ta betalt i kryptovaluta så att transaktionen inte går att stoppa även om det snabbt konstateras vart pengarna tar vägen.

Vilket borde vara obekvämt men knappast utgöra ett konkurshot om man inte har för många lik i garderoben.

Jo, men du har med terrorister att göra: de har inga skrupler mot att ställa till det för dig. Som många bittert fick erfara under den förra stora vågen av kryptomalware finns det inga garantier för att terroristerna varit kompetenta nog att ens spara kryptonyckeln för ditt företags data. Och för det andra: hur ska de trovärdigt bevisa att de gjort sig av med den data de stulit från dig efter att du betalat dem?
Det är ett lose-lose-scenario där du själv inte har några som helst garantier annat än den att om du betalar något så går pengarna oavkortat till organiserad brottslighet och/eller finansiering av skurkstater.

Det finns olika hot. När jag var liten råkade ungdomar ut för bråkstakar ibland osv. Min åsikt är problemet på senare tid handlar mycket om pengar på något sätt. Där de om de försvårar anonyma betalningar kan minska många problem.

Det du önskar fungerar i en mer perfekt värld än vi lever idag. Skitlätt att säga det du säger när man står på sidlinjen och inte behöver ta smällen för att ett företag riskerar att konka för att dom inte kan få tillbaka sin data. Som du säger så finns det heller inga garantier men det är en risk som tydligen väldigt många företag är villiga att ta så att dom kan fortsätta sin verksamhet.

Ska vi tvinga företag att konka för att dom har haft dålig säkerhet? Kanske, men där är vi inte idag och jag ställer mig tveksam till att vi kommer komma dit med dagens människor och kultur.

Det som lyfts är väl snarast att vi kanske inte har något realistiskt alternativ.

Snöbollen är i rullning och bara växer av alla som kortsiktigt räddar sig själva (eller åtminstone hoppas på detta) på alla andras bekostnad.

Det kräver en startsträcka, helt klart - vi kan inte börja med det. Men om vi lagstiftar om det idag så bör det inte vara omöjligt att detta kan göras till en realistisk konsekvens för de företag som fortfarande inte vidtagit basala åtgärder mot kryptomalware om tre-fyra år.

Dum fråga men är det idag verkligen lagligt för ett företag att betala pengar till en utpressare? Hur ska dessa bokföras, ska moms läggas på etc? Det har ju varit såna med miljonbeloppskrav vilket ägarna knappast har i fickan utan måste ta från företaget.

Det är väl avdragsgillt sålänge det är frågan om hobbyverksamhet på hantverket och inte är utfört av statliga aktörer?
Eller jag vet inte, och så blir det svart.

Edit: Ingen dum fråga alls, men jag lämnade ett dumt "rolighetsministersvar", förlåt.
Jag vill också veta hur det bokförs!

Exakt, straffet för att betala måste vara så hårt att organisationen som betalar utplånas.

Det kommer nya hack hela tiden så hur mycket du än jobbar med säkerhet så kan du alltid åka dit. Hoppas du en dag mognar och inser att världen är grå, inte svart/vit som du porträtterar den.

Det går väl kanske att förbättra läget påtagligt utan att behöva lägga sig i endera ytterkanten (”gör mer eller mindre ingenting”, som idag, eller ”avrätta företagsledare utan IT-kompetens offentligt!!!111”) 🙂

Som jag antydde tidigare i tråden: det spelar ingen roll hur bra du är så länge du anställer människor. En motiverad och kompetent angripare med dig som prioriterat mål kommer att kunna knäcka dig om du är värd insatsen. Men det bör vara straffbart att inte vidta basala åtgärder för att hålla sin data säker mot olyckshändelse och naiva massangrepp. Kan vi införa GDPR borde vi kunna införa en lag mot att betala skurkar.

Det här har också relevans för civilförsvaret. Kom ihåg att när Ryssland gav sig på Ukraina var en av de saker de gjorde för att destabilisera området, att rulla ut ett storskaligt kryptomalwareangrepp.

Jag blir attackerad dagligen av ett utpressningsprogram som heter Youtube Premium.

Något politiker, men även andra, säger fram tills att någon nära dem är den som hålls fånge.