国境安全保障・執行小委員会とサイバーセキュリティ・インフラ保護小委員会による最近の合同公聴会で、元FBI長官代理は、患者の命や安全を危険にさらす病院やその他の重要インフラを攻撃するランサムウェア攻撃者にテロ指定を適用することを検討するよう米国政府に要求した。
病院へのランサムウェア攻撃は通常、医療予約や手術のキャンセル、救急車の転院につながり、緊急患者がより遠い代替医療施設まで移動することになる。患者ケアのこれらの遅延は患者の安全を危険にさらし、研究ではランサムウェア攻撃後の病院の死亡率が増加することが示されている。ランサムウェア攻撃者は患者ケアが脅かされることを完全に認識した上で病院への攻撃を実行しており、身代金の支払い確率が増加するからである。
小委員会のメンバーは、2022年から2025年までFBIサイバー部門の副事務局長を務め、現在Halcyon Ransomware Research Centerの上級副社長であるシンシア・カイザーからのテスティモニーを聞いた。「ランサムウェアギャングが病院のシステムを暗号化し、システムのロックが継続されるという脅迫の下で支払いを要求する場合、患者が転院され、人工透析が遅延され、手術スケジュールがキャンセルされることを知っている場合、この行為がテロの定義に該当するという深刻な法的論拠が存在すると私は信じている。」とカイザーは述べた。「少なくとも、行政命令13224の下で指定権を共同で保持している国務省、司法省、財務省による正式で綿密な分析を値する。」
行政命令13224は2001年9月23日、ワールドトレードセンターへの9月11日攻撃後、ブッシュ大統領によって署名された。この行政命令の目的は、テロリストおよびテロ組織の財政支援ネットワークを破壊することであり、米国政府がテロ行為を実行するか、または実行する重大なリスクを有する外国個人および団体の資産を指定してブロックすることを認可する。
病院およびその他の重要インフラへのランサムウェア攻撃をテロ行為として指定することにより、攻撃は国家安全保障の脅威として分類され、政府は現在利用可能なものよりも広い範囲のツールを自由に使用でき、財務取引の制限、資産凍結、および海外のランサムウェア攻撃者に対する告発を追求しやすくなる。また、政府はランサムウェア攻撃者を庇護するロシアなどの国に対して外交的措置を取ることも可能になる。さらに、カイザーは、患者の死をもたらしたランサムウェア攻撃の場合、政府が殺人または過失致死罪を追求できるべきであると主張し、これが強力な抑止力として機能する可能性があると述べた。
「連邦検事は、ランサムウェア攻撃者が病院を標的とした場合、死亡が発生した場合、および攻撃者が敵対的な外国政府の保護の下で無罰で活動している場合において、殺人罪が適切であるかどうかを評価する権限を与えられ、かつ奨励されるべきである。」とカイザーは述べた。「医療を標的にしている者、記録された死亡を引き起こした者、敵対的な外国政府の保護の下で無罰で活動している者は、彼らが行ったことの重大さに匹敵する結果に直面する価値がある。」
