組織は、ランサムウェア攻撃時の最善の戦略は攻撃者の要求に応えることであると考えているかもしれませんが、そうすることで法的に問題が生じる可能性があります。連邦政府が関与すると、身代金そのものよりも経済的な影響が大きくなるだろう。この状況で企業が資産を保護するためにすべきこと、避けるべきことは次のとおりです。
ランサムウェア攻撃はあらゆる業界に大きな影響を与えます。残念なことに、それらはさらに深刻になってきています。事件』
実際には、
ランサムウェア攻撃中に身代金を支払うことは技術的には違法です。結局のところ、攻撃者の居場所を追跡したり、誰のために働いているかを特定したりすることはほぼ不可能であり、政府はテログループや禁輸措置下の国々に資金提供している米国企業に眉をひそめている。
違法であるにもかかわらず、なぜ組織は身代金を支払うのでしょうか?多くの人はその合法性について知らないかもしれませんが、それが最良の選択であると信じてそれを実行する人もいます。費用を分析した結果、罰金を支払う方が安くなる可能性があることがわかりました。
マルウェア攻撃の封じ込め
地方自治体および連邦政府の多くの命令は、サイバー攻撃とランサムウェアに関係しています。米国に居住している人、または米国でビジネスを行っている人は、これらの法的要件に従う必要があります。
組織における主な法律と考慮事項は次のとおりです。
正確な報告義務は州や業界によって異なりますが、いずれも組織に法執行機関に通知することを義務付けています。人々が状況を制御できたとしても、関係当局にそれを開示する必要があります。
連邦政府にはランサムウェアに関する明確で包括的な法律はありませんが、身代金の支払いは取引の一種であると考えられています。この技術的な理由から、攻撃者と関わることは違法であり、そうした場合には厳しい罰則が科せられる可能性があります。米国財務省外国資産管理局(OFAC)は、これらの事件のほとんどを監督しています。
国際緊急経済権限法 (IEEPA) と敵国貿易法 (TWEA) には、外国の金融関与に対する厳格な規則があります。それ
これらの法律や法律は身代金の支払いについて明確に議論していない場合がありますが、ランサムウェアも対象としています。制裁違反は通常、民事罰を科せられ、組織は高額の罰金または和解金を支払わなければなりません。一部の人々は、その行為が犯罪的または刑事的過失であると政府が判断した場合、懲役刑に処される可能性さえあります。
重要なことに、政府は、その行為に気づいていない人でも法的影響を受ける可能性があると指摘している。たとえ自分の行為が違法であることを知らなかったとしても、民事責任を問われる可能性がある。企業がパニックに陥り、攻撃が発生するとすぐに身代金を支払った場合でも、OFAC、CISA、その他の機関に回答しなければなりません。
組織は、地方自治体もランサムウェアに対して姿勢を示していることを覚えておく必要があります。ほとんどの自治体は罰金や法的影響を課しています。すべての州と米国準州には、独自のデータ侵害報告義務と罰則があります。
各州の固有の法律は異なりますが、それぞれ
多くの州は身代金の支払いを奨励していませんが、中にはランサムウェア攻撃者との通信を禁止している州もありますが、その罰金は通常、データプライバシーに関連しています。地方の法執行機関や公共団体は連邦政府ほどの権限を持たないため、通常は人々の私的な事柄には関与しません。
データ侵害に対しても迅速に対応でき、必要と感じれば罰金を科すこともあります。以来
組織がランサムウェアの要求に支払った場合、法的問題が発生します。連邦政府は支払いを犯罪組織への資金源とみなしているため、迅速に対応するだろう。罰金の範囲は数千ドルから数百万ドルに及び、多くの場合、最初の身代金よりも経済的打撃が大きくなります。
罰金に加えて、法執行機関は事件を司法省に引き渡す可能性がある。また、違反した組織を法廷に持ち込むこともでき、その場合には金銭的および評判上の罰則がさらに厳しくなります。
さらに、企業がランサムウェアの支払いをわざわざ隠蔽したと政府が判断した場合、刑事責任を問われる可能性がある。刑事罰はさらに厳しく、内容によっては懲役刑が科せられることもあります。
組織は身代金を支払う代わりに、関連当局に連絡する必要があります。 2022 年米国サイバーセキュリティ強化法 (SAC) では、すべての重要な国家インフラ組織はランサムウェア攻撃をサイバーセキュリティ・インフラセキュリティ庁 (CISA) に開示する必要があると規定しています。
しかし、CISAの存在は最初のステップにすぎません。また、国土安全保障省、OFAC の制裁および遵守評価部門、および FBI のサイバー対策本部にも連絡する必要があります。これらの機関はランサムウェア攻撃に常に対処しており、それらに対処する最善の方法を知っています。
ほとんどの企業は、攻撃者が自社のデータを悪意のあるペイウォールの背後にロックしていることに気づき、パニックに陥ります。それでも、彼らの要求に応えることは最悪のアプローチの 1 つです。組織が法執行機関に通報されると、セキュリティおよびプライバシーに関する罰金が科される可能性がありますが、IEEPA、TWEA、または米国サイバーセキュリティ強化法への違反で数十万の罰金を支払う必要がなくなります。