Quais são as implicações legais do pagamento de demandas de ransomware?

Embora as organizações possam pensar que a melhor estratégia durante um ataque de ransomware é atender às demandas do invasor, isso pode colocá-las em maus lençóis legais. Assim que o governo federal se envolver, as repercussões financeiras serão mais significativas do que o próprio resgate. Veja o que as empresas devem fazer e evitar nessa situação para proteger seus ativos.

A maioria das organizações paga o resgate?

Os ataques de ransomware impactam fortemente todos os setores. Infelizmente, eles estão ficando mais graves. Os incidentes custos ultrapassaram US$ 400 milhões em 2020, quatro vezes superior ao total de 2019. Estes ataques ameaçam a subsistência das pessoas, por isso muitas sentem extrema pressão para pagar o resgate.

Na verdade, cerca de 50% das vítimas pagar o resgate. No entanto, embora a maioria ceda às exigências dos invasores, apenas 4% recuperam todos os seus dados descriptografados e intactos. Embora obedecer possa parecer a melhor abordagem, muitas vezes não compensa.

É ilegal pagar o resgate?

É tecnicamente ilegal pagar resgate durante um ataque de ransomware. Afinal de contas, é quase impossível rastrear onde está o agressor ou descobrir para quem trabalha – e o governo desaprova entidades dos EUA que financiem grupos terroristas ou países sob embargo.

Por que as organizações pagam o resgate mesmo sendo ilegal? Embora muitos possam não saber sobre sua legalidade, alguns seguem em frente porque acreditam que é a melhor escolha. Após uma análise de custos, eles percebem que o pagamento das multas pode ser mais barato.

Contendo um ataque de malware demora cerca de 50 dias em média – esse tempo de inatividade prolongado pode prejudicar as vendas e a reputação de uma marca. Em vez de perder permanentemente os seus dados, enfrentar o escrutínio do governo e obter reação pública, alguns pagam discretamente ao invasor. Pode parecer um risco calculado, mas as repercussões potenciais geralmente não valem a pena.

Considerações legais para ataques de ransomware

Muitas determinações locais e federais envolvem ataques cibernéticos e ransomware. As pessoas que vivem ou fazem negócios nos Estados Unidos devem cumprir estes requisitos legais.

Aqui estão as principais leis e considerações para organizações:

• Informar as partes interessadas: As organizações normalmente devem informar as suas partes interessadas sobre um ataque de ransomware. Dependendo das leis locais, eles poderão ter que fazer declarações públicas ou notificar todos os clientes.
• Pagamento de resgates: Os governos federal e locais têm regras rígidas contra isso porque é uma questão de segurança – eles vêem isso como financiamento ou apoio.
• Notificando as autoridades: A Agência de Segurança Cibernética e de Infraestrutura (CISA) declara relatórios oportunos são obrigatórios para todos os incidentes de ransomware. As vítimas devem informar as agências governamentais relevantes dos EUA.
• Informar os clientes: As organizações devem notificar os clientes se um ataque de ransomware afetar a segurança dos dados. Afinal, a privacidade deles corre risco se os invasores exporem suas informações pessoais ou financeiras.

Embora as exigências exatas de notificação variem de acordo com o estado e o setor, todas elas exigem que as organizações informem as agências de aplicação da lei. Mesmo que as pessoas tenham a situação sob controlo, ainda assim devem divulgá-la às autoridades competentes.

Quais são os requisitos do governo federal?

Embora o governo federal não tenha leis explícitas e abrangentes sobre ransomware, ele considera o pagamento de resgate um tipo de transação. Devido a esse detalhe técnico, é ilegal interagir com o invasor – isso pode resultar em penalidades severas. O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA supervisiona a maioria desses incidentes.

A Lei dos Poderes Económicos de Emergência Internacional (IEEPA) e a Lei do Comércio com o Inimigo (TWEA) têm regras rigorosas contra o envolvimento financeiro estrangeiro. Isto é ilegal realizar uma transação com qualquer pessoa ou entidade na lista de Cidadãos Especialmente Designados e Pessoas Bloqueadas da OFAC. Além disso, fazer negócios com pessoas sob embargo é crime.

Esses atos e leis podem não discutir explicitamente pagamentos de resgate, mas abrangem ransomware. As violações de sanções normalmente resultam em penalidades civis, o que significa que as organizações devem pagar pesadas multas ou acordos. Algumas pessoas podem até enfrentar pena de prisão se o governo acreditar que as suas ações são criminosas ou criminosamente negligentes.

Crucialmente, o governo observa que mesmo aqueles que não têm conhecimento dos actos podem enfrentar repercussões legais – pode responsabilizar civilmente as pessoas mesmo que não saibam que as suas acções eram ilegais. Se uma empresa entrar em pânico e pagar o resgate assim que ocorrer um ataque, ela ainda terá que responder perante a OFAC, CISA e outras agências.

Quais são os requisitos dos governos locais?

As organizações devem lembrar que o governo local também tem uma posição em relação ao ransomware – a maioria impõe multas e repercussões legais. Cada estado e território dos EUA tem seus próprios mandatos e penalidades para relatórios de violação de dados.

Embora as leis específicas de cada estado sejam diferentes, cada uma exige que as entidades notifiquem as partes interessadas e aplicação da lei. As instalações locais normalmente não estão equipadas para lidar com ransomware, portanto a responsabilidade recai sobre agências federais como o FBI, CISA ou o Departamento de Segurança Interna.

Embora muitos estados desencorajem pagamentos de resgate – alguns até proibiram a comunicação com invasores de ransomware – suas multas geralmente estão relacionadas à privacidade de dados. As autoridades locais e as entidades públicas não têm tanto poder quanto o governo federal, por isso normalmente não se envolvem nos assuntos privados das pessoas.

Eles ainda podem reagir rapidamente a violações de dados e aplicarão multas se sentirem necessidade. Desde quase 50% dos invasores roubar dados antes de iniciar o ataque de ransomware, as organizações provavelmente terão que responder às leis de seu estado.

Por que as organizações não deveriam pagar o resgate?

As organizações terão problemas legais se pagarem uma demanda de ransomware. Como o governo federal considera os pagamentos um financiamento para entidades criminosas, reagirá rapidamente. As multas variam de alguns milhares de dólares a milhões – muitas vezes um impacto financeiro maior do que o resgate inicial.

Além das multas, as agências de aplicação da lei poderiam entregar o caso ao Departamento de Justiça. Eles também podem levar a organização inadimplente a tribunal, onde as penalidades financeiras e de reputação serão muito mais severas.

Além disso, se o governo descobrir que uma empresa se esforçou para encobrir um pagamento de ransomware, poderá considerá-la criminalmente responsável. As penalidades criminais são muito mais severas e – dependendo das especificidades – podem até resultar em pena de prisão.

O que as organizações deveriam fazer em vez disso?

Em vez de pagar o resgate, as organizações devem contactar as autoridades competentes. A Lei de Fortalecimento da Cibersegurança Americana (SAC) de 2022 declara que todas as organizações de infraestrutura nacional crítica devem divulgar ataques de ransomware à Agência de Segurança Cibernética e de Infraestrutura (CISA). em menos de 72 horas ou enfrentar penalidades. Se a vítima pagar um resgate, o prazo diminui para 24 horas.

Contudo, a presença da CISA é apenas o primeiro passo. Eles também devem entrar em contato com o Departamento de Segurança Interna, o departamento de sanções e avaliação de conformidade do OFAC e a força-tarefa cibernética do FBI. Essas agências lidam com ataques de ransomware o tempo todo e sabem a melhor maneira de lidar com eles.

Ignorar as demandas de ransomware é a melhor abordagem

A maioria das empresas entra em pânico quando percebe que um invasor bloqueou seus dados atrás de um acesso pago malicioso. Ainda assim, satisfazer as suas exigências é uma das piores abordagens. Embora uma organização possa receber multas de segurança e privacidade quando for para a aplicação da lei, ela evita ter que pagar centenas de milhares de dólares por violar a IEEPA, a TWEA ou a Lei de Fortalecimento da Segurança Cibernética Americana.