ransomware
O governo britânico anunciou hoje um pacote de cibersegurança que impede órgãos do setor público e infraestruturas nacionais críticas de realizar pagamentos a grupos de ransomware. A medida pretende quebrar o modelo de negócio dos criminosos digitais que exigem resgate para devolver dados ou restabelecer sistemas.
NHS, prefeituras e escolas estão entre as entidades diretamente alcançadas pela nova regra. Segundo o Ministério do Interior, quase três quartos dos entrevistados em consulta pública apoiaram a proposta.
O regulamento também afeta empresas privadas ao exigir comunicação prévia ao governo antes de qualquer transferência de valores a hackers. Com isso, autoridades poderão bloquear remessas que violem sanções internacionais, sobretudo contra grupos hospedados na Rússia.
O Reino Unido já vivenciou incidentes graves, como o ataque de 2017 ao Serviço Nacional de Saúde que interrompeu atendimentos em todo o país. Mais recentemente, a varejista Marks & Spencer também enfrentou extorsão digital.
Ransomware permanece entre as ameaças mais recorrentes ao redor do mundo e impulsiona custos de recuperação cada vez maiores. Ao inibir o pagamento de resgates, Londres espera reduzir o incentivo financeiro para futuras ofensivas.
ransomware
Além da proibição direta, o pacote institui diretrizes de reporte para aprimorar o mapeamento de incidentes e a cooperação entre governo e setor privado. A expectativa é consolidar estatísticas que orientem políticas públicas e fortaleçam a defesa nacional.
O modelo britânico contrasta com o ambiente regulatório dos Estados Unidos, onde há exigência de notificação, mas a maioria dos estados não impede o pagamento. Atualmente, apenas a Carolina do Norte veta repasses, e mesmo assim apenas para agências estaduais e administrações locais.
Casos recentes ilustram a dimensão do problema. Em fevereiro, invasores sequestraram dados de quase 70 000 clientes da corretora de criptomoedas Coinbase e pediram US$20 milhões. A empresa recusou a chantagem, ofereceu recompensa equivalente para identificar os autores e arcou com possíveis prejuízos dos usuários.
Especialistas afirmam que ações isoladas têm eficácia limitada quando grupos de ransomware operam internacionalmente. Ao exigir notificação antes de qualquer pagamento, o Reino Unido busca evitar que recursos sejam enviados a organizações já listadas em sanções financeiras.
O Ministério do Interior informou que o texto final da lei chegará ao Parlamento nos próximos meses. A partir da aprovação, órgãos públicos deverão seguir protocolos de resposta que excluem a possibilidade de negociação financeira com criminosos.
Entidades críticas também precisarão comprovar planos de continuidade operacional para mitigar impactos de eventual paralisação. A obrigação inclui rotinas de backup, atualizações de sistemas e revisão periódica de controles de acesso.
Empresas privadas não ficam proibidas de pagar, mas serão sujeitas a reportar intenção, valor e destinatário antes de qualquer transação. A negativa estatal em autorizar o repasse caracterizará descumprimento caso a empresa avance, sujeitando-a a penalidades.
O governo argumenta que a abordagem reforça a segurança coletiva, pois a lucratividade das extorsões depende de pagamentos rápidos e sigilosos. Sem retorno financeiro, grupos especializados tendem a buscar outras formas de crime ou reduzir a frequência dos ataques.
Organizações do setor de saúde, educação e serviços públicos terão período de adaptação para ajustar contratos de seguros, já que muitas apólices cobrem resgates. Companhias seguradoras deverão alinhar cláusulas à nova política, excluindo a opção de quitação de demandas ilícitas.
A comunidade internacional acompanha o avanço do projeto britânico como possível referência para legislações semelhantes. Se aprovada, a lei formará uma das mais restritivas barreiras legais contra pagamentos de ransomware no cenário global.