紐約州參議員提議立法禁止當地城鎮支付勒索軟體贖金

紐約州的兩名參議員Phil Boyle與David Carlucci在本月不約而同地提出了新法案，都是希望該州能夠立法禁止當地遭到勒索軟體攻擊的城鎮支付贖金。

其中，Boyle是在1月14日提出S7246，要求紐約州設立規模為500萬美元的網路安全強化基金，以用來升級地方政府的網路安全，但要求州政府或地方政府從2022年的1月起，便不得使用人民的納稅錢或政府基金來支付勒索軟體的贖金。Boyle認為，兩年應該足夠讓紐約州與當地的地方政府升級網路安全系統。

Carlucci則是在1月16日提出了S7289，該法案直接禁止任何的公營企業或政府單位支付勒索軟體的贖金。Carlucci說，光是在2019年，美國就有超過100個州或地方政府遭到勒索軟體攻擊，相關攻擊不僅讓這些機構的系統無法運作，還威脅要公布機密資訊，估計因勒索軟體攻擊所衍生的成本超過75億美元。

Carlucci指出，紐約奧爾巴尼（Albany）國際機場在去年12月底遭到勒索軟體攻擊時，支付了低於10萬美元的贖金以換回系統繼續運作，然而，若公營企業與政府單位支付贖金，將會激勵駭客，讓他們繼續採用同樣的方式快速賺錢，禁止公營企業與政府單位付款一來可維護納稅人的金錢，二來可避免鼓勵駭客。

其實在去年7月舉行的美國市長會議（US Conference of Mayors）中，來自全美城市的1,407位市長無異議地通過了一項決議，同意不支付贖金給勒索軟體駭客。然而，這項決議並無法律的約束力，之後遭到勒索軟體攻擊的城市，依然選擇了支付駭客贖金，使得美國媒體取笑這只是個無意義的非正式聲明。

儘管不論是FBI或是政府首長都希望受害者不要支付贖金，但目前看來並不容易。專門協助受害者與勒索軟體駭客協商的Coverware執行長Bill Siegel向ZDNet表示，紐約州的舉動也許會觸怒駭客，讓駭客發動更多的攻擊來測試州政府的決心，此外，假設被攻擊的是當地的市立醫院，且若支付贖金就能避免病患死亡，那麼該作何選擇？

資安專家認為，最終解決之道是強化政府機構的系統安全，且部署完善的備份與配套措施來因應潛在的攻擊風險。