英國擬加強打擊勒索軟體，強制通報、擴大禁付贖金

為加強打擊勒索軟體網路犯罪、防止贖金成為壯大其他犯罪活動的資本，英國政府擬導入強制通報機制，並將「禁付贖金」規定由中央政府部會擴大至其他公共服務和關鍵基礎設施，違規者不排除將遭刑事處分。

勒索軟體網路犯罪日益猖獗，犯罪者要求的贖金也屢創新高。區塊鏈分析公司Chainalysis去年曾估計，2023年全球各地受害者總計付出約11億美元贖金（約逾新台幣360億元），幾乎是2022年（5億6,700萬美元）的2倍。

英國政府擬實施相關新制、加強打擊和預防犯罪，14日啟動為期約3個月的公共諮詢程序，並公布政府提案與諮詢細節。

英國已禁止中央政府部會向駭客支付贖金，以削弱駭客犯罪誘因，內政部則規畫擴大實施禁令，將所有公共服務部門、地方政府，以及國家關鍵基礎設施（CNI）的持有者和營運者納入適用對象。

隸屬英國對內情報機關「軍情五處」（MI5）的「國家安全保護局」（NPSA）列舉13大CNI領域，包括交通運輸、衛生醫療、金融、能源、緊急服務、通訊、水、食品、化學、太空、政府、國防、民用核能。一旦內政部的提案得以落實，國民保健署（NHS）等機構未來也不得向駭客支付贖金。

英國內政部正徵詢公共意見，包括相關公共服務部門及關鍵基礎設施的重要供應商是否也該列入「禁付贖金」實施對象，以及可能的刑事或民事罰則。

此外，為強化情資蒐集及相關執法和情報單位的「打擊犯罪共同圖像」，英國內政部擬規範所有勒索軟體被害人（無論職業或服務單位）在支付贖金以前強制向相關機關通報。此外，內政部擬設定具體風險門檻，要求「潛在」被害人在遭遇特定情況時務必向相關單位通報。

根據提案，被害人通報後將獲必要指引和支援，相關單位將檢視是否有必要強制禁止被害人支付贖金，理由包括有跡象顯示，贖金恐用於資助恐怖主義活動、或流向已名列制裁清單的個人或實體。

若相關單位未裁決強制禁止支付贖金，則被害人可自行權衡利弊、評估風險成本，自主決定是否滿足駭客要求，儘管英國情報和執法機關已示警，支付贖金無法保證犯罪者必定落實對被害人的承諾，例如絕不外洩遭盜取的資料。

然而，一旦相關單位裁決有必要強制禁止支付贖金，但被害人依然決定付錢了事，則根據內政部提案，被害人不排除將遭刑事處分。

（作者：陳韻聿；首圖來源：shutterstock）