Suurin osa eurooppalaisten yritysten ja laitosten kiristysohjelmatartunnoista ei ilmoiteta viranomaisille. Ei myöskään tiedetä, kuinka moni uhri saa tartunnan ja maksaako he lunnaita. Se vaikeuttaisi lunnasohjelmia koskevaa lähestymistapaa.
Enisa, Euroopan unionin kyberturvallisuusvirasto, kirjoittaa raportissaan, että sillä on vain vähän käsitystä kiristysohjelmien uhreista. Tutkintaa varten virasto tarkasteli 623 tapausta sekä EU:ssa että Isossa-Britanniassa ja Yhdysvalloissa viime vuoden aikana. Kaikkiaan tietoja varastettiin kymmenen teratavua. 58 prosentissa tapauksista tietoja varastettiin myös työntekijöiltä. Enisa käytti yritysten ja hallitusten raportteja, media- ja blogiviestejä sekä joissain tapauksissa pimeässä verkossa olevia viestejä.
Raportin huomionarvoinen johtopäätös on, että 94.2 prosentissa kaikista tapauksista ENISA ei kyennyt määrittämään, maksoiko yritys lunnaita. 37.88 prosentissa tapauksista hyökkäyksen aikana varastettuja tietoja jaettiin myöhemmin Internetissä. "Tästä voidaan päätellä, että 61.12 prosenttia kaikista yrityksistä on päässyt sopimukseen hyökkääjien kanssa tai löytäneet toisen ratkaisun", tutkijat kirjoittavat. Kiristysohjelmatartuntojen tapauksessa hyökkääjät uhkaavat myös julkistaa varastetut tiedot lisäkeinona uhria kohtaan. Näin tapahtuu suurimmassa osassa tapauksia.
Tutkijat sanovat myös, että tutkittujen tapausten määrä on "vain jäävuoren huippu". Todellisuudessa ransomware-tartuntojen määrä olisi paljon suurempi. Tutkijoiden mukaan tätä on vaikea määrittää, koska monet uhrit eivät julkista tapauksiaan tai eivät ilmoita niistä viranomaisille.
Tämä vaikeuttaa myös kiristysohjelmien jatkotutkimusta, Enisa sanoo. Usein uhrit eivät osaa tai halua kertoa, kuinka hyökkääjät ensin tulivat sisään. Yhdessä siihen tosiasiaan, että lunnasohjelmamaksut suoritetaan usein salassa, "tämä lähestymistapa ei auta lunnasohjelmia vastaan, päinvastoin", tutkijat kirjoittavat.
ENisa kannattaa parempia sääntöjä, jotka edellyttävät kybertapahtumien ilmoittamista. Tämä tulee mahdolliseksi verkko- ja tietoturvadirektiivin tai NIS2:n puitteissa. Kyseessä on parhaillaan valmisteilla oleva eurooppalainen asetus, joka velvoittaa tietyillä aloilla toimivia yrityksiä ilmoittamaan kybervälikohtauksista.