ランサムウェアの要求を支払うことの法的影響は何ですか?

組織は、ランサムウェア攻撃時の最善の戦略は攻撃者の要求に応えることであると考えているかもしれませんが、そうすることで法的に問題が生じる可能性があります。連邦政府が関与すると、身代金そのものよりも経済的な影響が大きくなるだろう。この状況で企業が資産を保護するためにすべきこと、避けるべきことは次のとおりです。

ほとんどの組織は身代金を支払いますか?

ランサムウェア攻撃はあらゆる業界に大きな影響を与えます。残念なことに、それらはさらに深刻になってきています。事件』費用は4億ドルを超えました2020 年には 2019 年の合計の 4 倍に達しました。これらの攻撃は人々の生活を脅かすため、多くの人が身代金を支払うよう極度のプレッシャーを感じています。

実際には、被害者の約50％身代金を支払え。ただし、ほとんどが攻撃者の要求に屈したとしても、すべてのデータを復号化して無傷で取り戻したのはわずか 4% だけです。従うことが最善のアプローチのように思えるかもしれませんが、多くの場合、それは報われません。

身代金を支払うのは違法ですか?

ランサムウェア攻撃中に身代金を支払うことは技術的には違法です。結局のところ、攻撃者の居場所を追跡したり、誰のために働いているかを特定したりすることはほぼ不可能であり、政府はテログループや禁輸措置下の国々に資金提供している米国企業に眉をひそめている。

違法であるにもかかわらず、なぜ組織は身代金を支払うのでしょうか?多くの人はその合法性について知らないかもしれませんが、それが最良の選択であると信じてそれを実行する人もいます。費用を分析した結果、罰金を支払う方が安くなる可能性があることがわかりました。

マルウェア攻撃の封じ込め 約50日かかります平均すると、このダウンタイムの延長により、ブランドの売上と評判が低下する可能性があります。データを永久に失い、政府の監視にさらされ、世間の反発を受ける代わりに、静かに攻撃者にお金を支払う人もいます。計算されたリスクのように思えるかもしれませんが、潜在的な影響を考えると、通常はそれだけの価値はありません。

ランサムウェア攻撃に関する法的考慮事項

地方自治体および連邦政府の多くの命令は、サイバー攻撃とランサムウェアに関係しています。米国に居住している人、または米国でビジネスを行っている人は、これらの法的要件に従う必要があります。

組織における主な法律と考慮事項は次のとおりです。

• 利害関係者への通知: 通常、組織はランサムウェア攻撃について利害関係者に通知する必要があります。現地の法律によっては、公的声明を発表したり、すべての顧客に通知したりする必要がある場合があります。
• 身代金の支払い: 連邦政府と地方政府は、これを資金提供または支援とみなしているため、これに対して厳しい規則を設けています。
• 法執行機関への通知: サイバーセキュリティ・インフラセキュリティ庁 (CISA) は次のように述べています。 タイムリーな報告は必須ですすべてのランサムウェア インシデントに対応します。被害者は関連する米国政府機関に通報しなければなりません。
• 顧客への通知: 組織は、ランサムウェア攻撃がデータ セキュリティに影響を与える場合、顧客に通知する必要があります。結局のところ、攻撃者が個人情報や財務情報を暴露すると、プライバシーが危険にさらされることになります。

正確な報告義務は州や業界によって異なりますが、いずれも組織に法執行機関に通知することを義務付けています。人々が状況を制御できたとしても、関係当局にそれを開示する必要があります。

連邦政府の要件は何ですか?

連邦政府にはランサムウェアに関する明確で包括的な法律はありませんが、身代金の支払いは取引の一種であると考えられています。この技術的な理由から、攻撃者と関わることは違法であり、そうした場合には厳しい罰則が科せられる可能性があります。米国財務省外国資産管理局（OFAC）は、これらの事件のほとんどを監督しています。

国際緊急経済権限法 (IEEPA) と敵国貿易法 (TWEA) には、外国の金融関与に対する厳格な規則があります。それ取引を行うことは違法ですOFAC の特別指定国民およびブロック対象者リストに記載されている個人または団体との取引。また、禁輸措置を受けている者と取引することは犯罪です。

これらの法律や法律は身代金の支払いについて明確に議論していない場合がありますが、ランサムウェアも対象としています。制裁違反は通常、民事罰を科せられ、組織は高額の罰金または和解金を支払わなければなりません。一部の人々は、その行為が犯罪的または刑事的過失であると政府が判断した場合、懲役刑に処される可能性さえあります。

重要なことに、政府は、その行為に気づいていない人でも法的影響を受ける可能性があると指摘している。たとえ自分の行為が違法であることを知らなかったとしても、民事責任を問われる可能性がある。企業がパニックに陥り、攻撃が発生するとすぐに身代金を支払った場合でも、OFAC、CISA、その他の機関に回答しなければなりません。

地方自治体の要件は何ですか?

組織は、地方自治体もランサムウェアに対して姿勢を示していることを覚えておく必要があります。ほとんどの自治体は罰金や法的影響を課しています。すべての州と米国準州には、独自のデータ侵害報告義務と罰則があります。

各州の固有の法律は異なりますが、それぞれ企業は利害関係者に通知する必要があるそして法執行機関。通常、地元の施設にはランサムウェアに対処するための設備が整っていないため、責任は FBI、CISA、国土安全保障省などの連邦機関にあります。

多くの州は身代金の支払いを奨励していませんが、中にはランサムウェア攻撃者との通信を禁止している州もありますが、その罰金は通常、データプライバシーに関連しています。地方の法執行機関や公共団体は連邦政府ほどの権限を持たないため、通常は人々の私的な事柄には関与しません。

データ侵害に対しても迅速に対応でき、必要と感じれば罰金を科すこともあります。以来攻撃者のほぼ 50%ランサムウェア攻撃を開始する前にデータを盗む場合、組織はおそらく州の法律に従う必要があるでしょう。

なぜ組織は身代金を支払ってはいけないのでしょうか?

組織がランサムウェアの要求に支払った場合、法的問題が発生します。連邦政府は支払いを犯罪組織への資金源とみなしているため、迅速に対応するだろう。罰金の範囲は数千ドルから数百万ドルに及び、多くの場合、最初の身代金よりも経済的打撃が大きくなります。

罰金に加えて、法執行機関は事件を司法省に引き渡す可能性がある。また、違反した組織を法廷に持ち込むこともでき、その場合には金銭的および評判上の罰則がさらに厳しくなります。

さらに、企業がランサムウェアの支払いをわざわざ隠蔽したと政府が判断した場合、刑事責任を問われる可能性がある。刑事罰はさらに厳しく、内容によっては懲役刑が科せられることもあります。

組織は代わりに何をすべきでしょうか?

組織は身代金を支払う代わりに、関連当局に連絡する必要があります。 2022 年米国サイバーセキュリティ強化法 (SAC) では、すべての重要な国家インフラ組織はランサムウェア攻撃をサイバーセキュリティ・インフラセキュリティ庁 (CISA) に開示する必要があると規定しています。 72時間以内にまたは罰則が科せられます。被害者が身代金を支払った場合、タイムラインは 24 時間に短縮されます。

しかし、CISAの存在は最初のステップにすぎません。また、国土安全保障省、OFAC の制裁および遵守評価部門、および FBI のサイバー対策本部にも連絡する必要があります。これらの機関はランサムウェア攻撃に常に対処しており、それらに対処する最善の方法を知っています。

ランサムウェアの要求を無視することが最善のアプローチです

ほとんどの企業は、攻撃者が自社のデータを悪意のあるペイウォールの背後にロックしていることに気づき、パニックに陥ります。それでも、彼らの要求に応えることは最悪のアプローチの 1 つです。組織が法執行機関に通報されると、セキュリティおよびプライバシーに関する罰金が科される可能性がありますが、IEEPA、TWEA、または米国サイバーセキュリティ強化法への違反で数十万の罰金を支払う必要がなくなります。