組織のデータがハッカーに身代金目的で拘束されている場合、身代金を支払うべきでしょうか？ 一般的に、身代金を支払うべきではありません。なぜなら、身代金は犯罪者を助長するからです。しかし、それよりも先に考えるべきことがあります。身代金を支払うことは合法なのでしょうか？

答えはあなたが想像するほど単純ではありません。例えば、会社のサーバーが泥棒にロックされ、お金を払いたくないのに、他に選択肢がないと決めたとしましょう。

支払いはどのように行いますか？誰が関与しているかによって、例えば米国に拠点を置く取引所など、支払い処理で問題が発生する可能性があります。結局のところ、顧客確認（KYC）法が存在するのは理由があります。バンク・オブ・アメリカやバークレイズに電話して、「北朝鮮の窃盗団に1000万ドルを送金したい」と言うことはできません。

送金先はどこですか？もしあなたがアメリカにいて、ハッカーが北朝鮮にいるとしたら、制裁に違反している可能性があります。制裁では通常、「取引は禁止されているが、必要であればその国の悪質な人物に送金することは可能」とは定められていません。ハッカーがあなたの国に侵入してデータをロックしてしまうのは残念ですが、制裁に違反すれば犯罪になります。

もちろん、犯罪者たちは気にしない。彼らの態度は「我々は既に犯罪者だ。お前らも我々の裏社会に加わって金を払えばいい。何だ？規制上の問題でも？まさに君の問題だ。チクタク、チクタク」だ。

これは、支払いの禁止が決して機能しない理由も説明しています。12個の法律を追加したとしても、法律に違反して活動する人々は気にしないでしょう。

最善策は、堅牢で信頼性が高く、回復力のあるバックアップソリューションを導入することです。堅牢とは、環境内のすべてを網羅するという意味です。つまり、「すべてを含み、特定のものを除外する」というポリシーではなく、必要なものを復元するために必要なすべてを網羅するということです。信頼性とは、バックアップが機能し、定期的に保存されていることを意味します。先週の水曜日の午後2時14分のデータが必要になったとき、それがそこにあると分かります。そして、回復力とは、攻撃を受けないという意味です。ネットワークに侵入した誰かがバックアップを破棄することはできません。

この3Rは私が勝手に作ったものですが、なかなかいい響きですね。