Embora as organizações possam pensar que a melhor estratégia durante um ataque de ransomware é atender às demandas do invasor, isso pode colocá-las em maus lençóis legais. Assim que o governo federal se envolver, as repercussões financeiras serão mais significativas do que o próprio resgate. Veja o que as empresas devem fazer e evitar nessa situação para proteger seus ativos. A maioria das organizações paga o resgate? Os ataques de ransomware impactam fortemente todos os setores. Infelizmente, eles estão ficando mais graves. Os incidentes em 2020, quatro vezes superior ao total de 2019. Estes ataques ameaçam a subsistência das pessoas, por isso muitas sentem extrema pressão para pagar o resgate. custos ultrapassaram US$ 400 milhões Na verdade, pagar o resgate. No entanto, embora a maioria ceda às exigências dos invasores, apenas 4% recuperam todos os seus dados descriptografados e intactos. Embora obedecer possa parecer a melhor abordagem, muitas vezes não compensa. cerca de 50% das vítimas É ilegal pagar o resgate? É tecnicamente ilegal pagar resgate durante um ataque de ransomware. Afinal de contas, é quase impossível rastrear onde está o agressor ou descobrir para quem trabalha – e o governo desaprova entidades dos EUA que financiem grupos terroristas ou países sob embargo. Por que as organizações pagam o resgate mesmo sendo ilegal? Embora muitos possam não saber sobre sua legalidade, alguns seguem em frente porque acreditam que é a melhor escolha. Após uma análise de custos, eles percebem que o pagamento das multas pode ser mais barato. Contendo um ataque de malware em média – esse tempo de inatividade prolongado pode prejudicar as vendas e a reputação de uma marca. Em vez de perder permanentemente os seus dados, enfrentar o escrutínio do governo e obter reação pública, alguns pagam discretamente ao invasor. Pode parecer um risco calculado, mas as repercussões potenciais geralmente não valem a pena. demora cerca de 50 dias Considerações legais para ataques de ransomware Muitas determinações locais e federais envolvem ataques cibernéticos e ransomware. As pessoas que vivem ou fazem negócios nos Estados Unidos devem cumprir estes requisitos legais. Aqui estão as principais leis e considerações para organizações: Informar as partes interessadas: As organizações normalmente devem informar as suas partes interessadas sobre um ataque de ransomware. Dependendo das leis locais, eles poderão ter que fazer declarações públicas ou notificar todos os clientes. Pagamento de resgates: Os governos federal e locais têm regras rígidas contra isso porque é uma questão de segurança – eles vêem isso como financiamento ou apoio. Notificando as autoridades: A Agência de Segurança Cibernética e de Infraestrutura (CISA) declara para todos os incidentes de ransomware. As vítimas devem informar as agências governamentais relevantes dos EUA. relatórios oportunos são obrigatórios Informar os clientes: As organizações devem notificar os clientes se um ataque de ransomware afetar a segurança dos dados. Afinal, a privacidade deles corre risco se os invasores exporem suas informações pessoais ou financeiras. Embora as exigências exatas de notificação variem de acordo com o estado e o setor, todas elas exigem que as organizações informem as agências de aplicação da lei. Mesmo que as pessoas tenham a situação sob controlo, ainda assim devem divulgá-la às autoridades competentes. Quais são os requisitos do governo federal? Embora o governo federal não tenha leis explícitas e abrangentes sobre ransomware, ele considera o pagamento de resgate um tipo de transação. Devido a esse detalhe técnico, é ilegal interagir com o invasor – isso pode resultar em penalidades severas. O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA supervisiona a maioria desses incidentes. A Lei dos Poderes Económicos de Emergência Internacional (IEEPA) e a Lei do Comércio com o Inimigo (TWEA) têm regras rigorosas contra o envolvimento financeiro estrangeiro. Isto com qualquer pessoa ou entidade na lista de Cidadãos Especialmente Designados e Pessoas Bloqueadas da OFAC. Além disso, fazer negócios com pessoas sob embargo é crime. é ilegal realizar uma transação Esses atos e leis podem não discutir explicitamente pagamentos de resgate, mas abrangem ransomware. As violações de sanções normalmente resultam em penalidades civis, o que significa que as organizações devem pagar pesadas multas ou acordos. Algumas pessoas podem até enfrentar pena de prisão se o governo acreditar que as suas ações são criminosas ou criminosamente negligentes. Crucialmente, o governo observa que mesmo aqueles que não têm conhecimento dos actos podem enfrentar repercussões legais – pode responsabilizar civilmente as pessoas mesmo que não saibam que as suas acções eram ilegais. Se uma empresa entrar em pânico e pagar o resgate assim que ocorrer um ataque, ela ainda terá que responder perante a OFAC, CISA e outras agências. Quais são os requisitos dos governos locais? As organizações devem lembrar que o governo local também tem uma posição em relação ao ransomware – a maioria impõe multas e repercussões legais. Cada estado e território dos EUA tem seus próprios mandatos e penalidades para relatórios de violação de dados. Embora as leis específicas de cada estado sejam diferentes, cada uma e aplicação da lei. As instalações locais normalmente não estão equipadas para lidar com ransomware, portanto a responsabilidade recai sobre agências federais como o FBI, CISA ou o Departamento de Segurança Interna. exige que as entidades notifiquem as partes interessadas Embora muitos estados desencorajem pagamentos de resgate – alguns até proibiram a comunicação com invasores de ransomware – suas multas geralmente estão relacionadas à privacidade de dados. As autoridades locais e as entidades públicas não têm tanto poder quanto o governo federal, por isso normalmente não se envolvem nos assuntos privados das pessoas. Eles ainda podem reagir rapidamente a violações de dados e aplicarão multas se sentirem necessidade. Desde roubar dados antes de iniciar o ataque de ransomware, as organizações provavelmente terão que responder às leis de seu estado. quase 50% dos invasores Por que as organizações não deveriam pagar o resgate? As organizações terão problemas legais se pagarem uma demanda de ransomware. Como o governo federal considera os pagamentos um financiamento para entidades criminosas, reagirá rapidamente. As multas variam de alguns milhares de dólares a milhões – muitas vezes um impacto financeiro maior do que o resgate inicial. Além das multas, as agências de aplicação da lei poderiam entregar o caso ao Departamento de Justiça. Eles também podem levar a organização inadimplente a tribunal, onde as penalidades financeiras e de reputação serão muito mais severas. Além disso, se o governo descobrir que uma empresa se esforçou para encobrir um pagamento de ransomware, poderá considerá-la criminalmente responsável. As penalidades criminais são muito mais severas e – dependendo das especificidades – podem até resultar em pena de prisão. O que as organizações deveriam fazer em vez disso? Em vez de pagar o resgate, as organizações devem contactar as autoridades competentes. A Lei de Fortalecimento da Cibersegurança Americana (SAC) de 2022 declara que todas as organizações de infraestrutura nacional crítica devem divulgar ataques de ransomware à Agência de Segurança Cibernética e de Infraestrutura (CISA). ou enfrentar penalidades. Se a vítima pagar um resgate, o prazo diminui para 24 horas. em menos de 72 horas Contudo, a presença da CISA é apenas o primeiro passo. Eles também devem entrar em contato com o Departamento de Segurança Interna, o departamento de sanções e avaliação de conformidade do OFAC e a força-tarefa cibernética do FBI. Essas agências lidam com ataques de ransomware o tempo todo e sabem a melhor maneira de lidar com eles. Ignorar as demandas de ransomware é a melhor abordagem A maioria das empresas entra em pânico quando percebe que um invasor bloqueou seus dados atrás de um acesso pago malicioso. Ainda assim, satisfazer as suas exigências é uma das piores abordagens. Embora uma organização possa receber multas de segurança e privacidade quando for para a aplicação da lei, ela evita ter que pagar centenas de milhares de dólares por violar a IEEPA, a TWEA ou a Lei de Fortalecimento da Segurança Cibernética Americana.
