रैंसमवेयर मांगों का भुगतान करने के कानूनी निहितार्थ क्या हैं?

हालांकि संगठन सोच सकते हैं कि रैंसमवेयर हमले के दौरान सबसे अच्छी रणनीति हमलावर की मांगों को पूरा करना है, लेकिन ऐसा करने से वे कानूनी संकट में पड़ सकते हैं। एक बार जब संघीय सरकार इसमें शामिल हो जाती है, तो वित्तीय परिणाम फिरौती से भी अधिक महत्वपूर्ण होंगे। इस स्थिति में कंपनियों को अपनी संपत्ति की सुरक्षा के लिए क्या करना चाहिए और क्या नहीं करना चाहिए, यहां बताया गया है।

क्या अधिकांश संगठन फिरौती का भुगतान करते हैं?

रैंसमवेयर हमलों का हर उद्योग पर भारी प्रभाव पड़ता है। दुर्भाग्य से, वे और अधिक गंभीर होते जा रहे हैं। घटनाएँ' लागत $400 मिलियन से अधिक हो गई 2020 में, 2019 की तुलना में चार गुना अधिक। इन हमलों से लोगों की आजीविका को ख़तरा है, इसलिए कई लोग फिरौती देने के लिए अत्यधिक दबाव महसूस करते हैं।

वास्तव में, लगभग 50% पीड़ित फिरौती का भुगतान करें. हालाँकि, भले ही अधिकांश हमलावरों की माँगों को मान लेते हैं, केवल 4% को ही अपना सारा डेटा डिक्रिप्टेड और बरकरार मिलता है। हालाँकि अनुपालन करना सबसे अच्छा तरीका लग सकता है, लेकिन अक्सर इसका कोई फ़ायदा नहीं होता है।

क्या फिरौती देना गैरकानूनी है?

रैंसमवेयर हमले के दौरान फिरौती देना तकनीकी रूप से अवैध है। आख़िरकार, यह पता लगाना लगभग असंभव है कि हमलावर कहाँ है या यह पता लगाना कि वे किसके लिए काम करते हैं - और सरकार अमेरिकी संस्थाओं द्वारा आतंकवादी समूहों या प्रतिबंध के तहत देशों को वित्त पोषित करने पर नाराज़ है।

अवैध होने के बावजूद संगठन फिरौती क्यों देते हैं? हालाँकि बहुत से लोग इसकी वैधता के बारे में नहीं जानते होंगे, कुछ लोग इसे अपनाते हैं क्योंकि उनका मानना है कि यह सबसे अच्छा विकल्प है। लागत विश्लेषण के बाद, उन्हें एहसास हुआ कि जुर्माना भरना कम खर्चीला हो सकता है।

मैलवेयर हमले से युक्त लगभग 50 दिन लगते हैं औसतन - यह विस्तारित डाउनटाइम किसी ब्रांड की बिक्री और प्रतिष्ठा को प्रभावित कर सकता है। अपना डेटा स्थायी रूप से खोने, सरकारी जांच का सामना करने और सार्वजनिक प्रतिक्रिया पाने के बजाय, कुछ लोग चुपचाप हमलावर को भुगतान करते हैं। यह एक परिकलित जोखिम जैसा लग सकता है, लेकिन संभावित परिणाम आमतौर पर इसके लायक नहीं होते हैं।

रैंसमवेयर हमलों के लिए कानूनी विचार

कई स्थानीय और संघीय शासनादेश साइबर हमलों और रैंसमवेयर से संबंधित हैं। संयुक्त राज्य अमेरिका में रहने वाले या व्यवसाय करने वाले लोगों को इन कानूनी आवश्यकताओं का पालन करना होगा।

यहां संगठनों के लिए प्राथमिक कानून और विचार दिए गए हैं:

• हितधारकों को सूचित करना: संगठनों को आम तौर पर रैंसमवेयर हमले के बारे में अपने हितधारकों को सूचित करना चाहिए। स्थानीय कानूनों के आधार पर, उन्हें सार्वजनिक बयान देना पड़ सकता है या सभी ग्राहकों को सूचित करना पड़ सकता है।
• फिरौती देना: संघीय और स्थानीय सरकारों के पास इसके खिलाफ सख्त नियम हैं क्योंकि यह सुरक्षा का मामला है - वे इसे फंडिंग या समर्थन के रूप में देखते हैं।
• कानून प्रवर्तन को अधिसूचित करना: साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) का कहना है समय पर रिपोर्टिंग अनिवार्य है सभी रैनसमवेयर घटनाओं के लिए। पीड़ितों को संबंधित अमेरिकी सरकारी एजेंसियों को सूचित करना चाहिए।
• ग्राहकों को सूचित करना: यदि रैंसमवेयर हमला डेटा सुरक्षा को प्रभावित करता है तो संगठनों को ग्राहकों को सूचित करना चाहिए। आख़िरकार, यदि हमलावर उनकी व्यक्तिगत या वित्तीय जानकारी उजागर करते हैं तो उनकी गोपनीयता खतरे में है।

जबकि सटीक रिपोर्टिंग अधिदेश राज्य और उद्योग के अनुसार अलग-अलग होते हैं, उन सभी के लिए संगठनों को कानून प्रवर्तन एजेंसियों को सूचित करने की आवश्यकता होती है। भले ही लोगों की स्थिति नियंत्रण में हो, फिर भी उन्हें संबंधित अधिकारियों को इसके बारे में बताना होगा।

संघीय सरकार की आवश्यकताएँ क्या हैं?

जबकि संघीय सरकार के पास रैंसमवेयर के संबंध में कोई स्पष्ट, व्यापक कानून नहीं है, वह फिरौती भुगतान को एक प्रकार का लेनदेन मानती है। इस तकनीकीता के कारण, हमलावर के साथ जुड़ना गैरकानूनी है - ऐसा करने पर कठोर दंड हो सकता है। अमेरिकी ट्रेजरी विभाग का विदेशी संपत्ति नियंत्रण कार्यालय (ओएफएसी) इनमें से अधिकांश घटनाओं की निगरानी करता है।

अंतर्राष्ट्रीय आपातकालीन आर्थिक शक्तियां अधिनियम (आईईईपीए) और शत्रु के साथ व्यापार अधिनियम (टीडब्ल्यूईए) में विदेशी वित्तीय भागीदारी के खिलाफ सख्त नियम हैं। यह लेन-देन करना अवैध है ओएफएसी की विशेष रूप से नामित नागरिकों और अवरुद्ध व्यक्तियों की सूची में शामिल किसी भी व्यक्ति या संस्था के साथ। साथ ही, प्रतिबंध के तहत व्यापार करना भी अपराध है।

ये अधिनियम और कानून स्पष्ट रूप से फिरौती भुगतान पर चर्चा नहीं कर सकते हैं, लेकिन वे रैंसमवेयर को कवर करते हैं। प्रतिबंधों के उल्लंघन के परिणामस्वरूप आम तौर पर नागरिक दंड होता है, जिसका अर्थ है कि संगठनों को भारी जुर्माना या निपटान करना होगा। अगर सरकार को लगता है कि उनके कार्य आपराधिक या आपराधिक लापरवाही हैं तो कुछ लोगों को जेल की सजा भी हो सकती है।

महत्वपूर्ण रूप से, सरकार का कहना है कि कृत्यों से अनजान लोगों को भी कानूनी नतीजों का सामना करना पड़ सकता है - यह लोगों को नागरिक रूप से उत्तरदायी ठहरा सकता है, भले ही उन्हें पता न हो कि उनके कार्य अवैध थे। यदि कोई कंपनी हमला होते ही घबरा जाती है और फिरौती का भुगतान कर देती है, तब भी उसे ओएफएसी, सीआईएसए और अन्य एजेंसियों को जवाब देना होगा।

स्थानीय सरकारों की आवश्यकताएँ क्या हैं?

संगठनों को याद रखना चाहिए कि उनकी स्थानीय सरकार का भी रैंसमवेयर पर एक रुख है - अधिकांश जुर्माना और कानूनी प्रभाव डालते हैं। प्रत्येक राज्य और अमेरिकी क्षेत्र के अपने डेटा उल्लंघन रिपोर्टिंग अधिदेश और दंड हैं।

जबकि हर राज्य के विशिष्ट कानून अलग-अलग होते हैं हितधारकों को सूचित करने के लिए संस्थाओं की आवश्यकता होती है और कानून प्रवर्तन। स्थानीय सुविधाएं आमतौर पर रैंसमवेयर से निपटने के लिए सुसज्जित नहीं होती हैं, इसलिए जिम्मेदारी एफबीआई, सीआईएसए या होमलैंड सिक्योरिटी विभाग जैसी संघीय एजेंसियों पर आती है।

जबकि कई राज्य फिरौती भुगतान को हतोत्साहित करते हैं - कुछ ने रैंसमवेयर हमलावरों के साथ संचार पर भी प्रतिबंध लगा दिया है - उनका जुर्माना आमतौर पर डेटा गोपनीयता से संबंधित है। स्थानीय कानून प्रवर्तन और सार्वजनिक संस्थाओं के पास संघीय सरकार जितनी शक्ति नहीं है, इसलिए वे आम तौर पर लोगों के निजी मामलों में खुद को शामिल नहीं करते हैं।

वे अभी भी डेटा उल्लंघनों पर तेजी से प्रतिक्रिया कर सकते हैं और जरूरत महसूस होने पर जुर्माना लगा सकते हैं। तब से लगभग 50% हमलावर रैंसमवेयर हमला शुरू करने से पहले डेटा चोरी करने पर, संगठनों को संभवतः अपने राज्य के कानूनों का जवाब देना होगा।

संगठनों को फिरौती क्यों नहीं देनी चाहिए?

यदि संगठन रैंसमवेयर मांग का भुगतान करते हैं तो उन्हें कानूनी समस्याएं होंगी। चूंकि संघीय सरकार भुगतान को आपराधिक संस्थाओं के लिए धन मानती है, इसलिए वे तेजी से प्रतिक्रिया देंगे। जुर्माना कुछ हज़ार डॉलर से लेकर लाखों तक होता है - अक्सर प्रारंभिक फिरौती की तुलना में अधिक वित्तीय क्षति होती है।

जुर्माने के अलावा, कानून प्रवर्तन एजेंसियां मामले को न्याय विभाग को सौंप सकती हैं। वे अनुपालन न करने वाले संगठन को अदालत में भी ले जा सकते हैं, जहां वित्तीय और प्रतिष्ठित दंड बहुत अधिक गंभीर होंगे।

इसके अलावा, अगर सरकार को पता चलता है कि रैंसमवेयर भुगतान को छुपाने के लिए कोई व्यवसाय अपने रास्ते से हट गया है, तो वह इसे आपराधिक रूप से उत्तरदायी मान सकती है। आपराधिक दंड बहुत अधिक गंभीर हैं और - विशिष्टताओं के आधार पर - यहां तक कि जेल भी हो सकती है।

इसके बजाय संगठनों को क्या करना चाहिए?

संगठनों को फिरौती देने के बजाय संबंधित अधिकारियों से संपर्क करना चाहिए। 2022 के अमेरिकी साइबर सुरक्षा अधिनियम (एसएसी) को मजबूत बनाने में कहा गया है कि सभी महत्वपूर्ण राष्ट्रीय बुनियादी ढांचा संगठनों को साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) को रैंसमवेयर हमलों का खुलासा करना होगा। 72 घंटे से भी कम समय में या दंड का सामना करना पड़ेगा। यदि पीड़ित फिरौती का भुगतान करता है, तो समयसीमा 24 घंटे तक कम हो जाती है।

हालाँकि, CISA की उपस्थिति केवल पहला कदम है। उन्हें होमलैंड सिक्योरिटी विभाग, ओएफएसी के प्रतिबंध और अनुपालन मूल्यांकन विभाग और एफबीआई की साइबर टास्क फोर्स से भी संपर्क करना चाहिए। ये एजेंसियां हर समय रैंसमवेयर हमलों से निपटती हैं और उनसे निपटने का सबसे अच्छा तरीका जानती हैं।

रैनसमवेयर मांगों को नजरअंदाज करना सबसे अच्छा तरीका है

अधिकांश कंपनियां तब घबरा जाती हैं जब उन्हें पता चलता है कि किसी हमलावर ने उनके डेटा को दुर्भावनापूर्ण पेवॉल के पीछे लॉक कर दिया है। फिर भी, उनकी मांगों को पूरा करना सबसे खराब तरीकों में से एक है। हालाँकि कानून प्रवर्तन में जाने के बाद किसी संगठन को सुरक्षा और गोपनीयता जुर्माना मिल सकता है, लेकिन यह IEEPA, TWEA, या मजबूत अमेरिकी साइबर सुरक्षा अधिनियम का उल्लंघन करने के लिए सैकड़ों हजारों का भुगतान करने से बच जाता है।