Embora as organizações possam pensar que a melhor estratégia durante um ataque de ransomware é atender às demandas do invasor, isso pode colocá-las em maus lençóis legais. Assim que o governo federal se envolver, as repercussões financeiras serão mais significativas do que o próprio resgate. Veja o que as empresas devem fazer e evitar nessa situação para proteger seus ativos.
Os ataques de ransomware impactam fortemente todos os setores. Infelizmente, eles estão ficando mais graves. Os incidentes
Na verdade,
É tecnicamente ilegal pagar resgate durante um ataque de ransomware. Afinal de contas, é quase impossível rastrear onde está o agressor ou descobrir para quem trabalha – e o governo desaprova entidades dos EUA que financiem grupos terroristas ou países sob embargo.
Por que as organizações pagam o resgate mesmo sendo ilegal? Embora muitos possam não saber sobre sua legalidade, alguns seguem em frente porque acreditam que é a melhor escolha. Após uma análise de custos, eles percebem que o pagamento das multas pode ser mais barato.
Contendo um ataque de malware
Muitas determinações locais e federais envolvem ataques cibernéticos e ransomware. As pessoas que vivem ou fazem negócios nos Estados Unidos devem cumprir estes requisitos legais.
Aqui estão as principais leis e considerações para organizações:
Embora as exigências exatas de notificação variem de acordo com o estado e o setor, todas elas exigem que as organizações informem as agências de aplicação da lei. Mesmo que as pessoas tenham a situação sob controlo, ainda assim devem divulgá-la às autoridades competentes.
Embora o governo federal não tenha leis explícitas e abrangentes sobre ransomware, ele considera o pagamento de resgate um tipo de transação. Devido a esse detalhe técnico, é ilegal interagir com o invasor – isso pode resultar em penalidades severas. O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA supervisiona a maioria desses incidentes.
A Lei dos Poderes Económicos de Emergência Internacional (IEEPA) e a Lei do Comércio com o Inimigo (TWEA) têm regras rigorosas contra o envolvimento financeiro estrangeiro. Isto
Esses atos e leis podem não discutir explicitamente pagamentos de resgate, mas abrangem ransomware. As violações de sanções normalmente resultam em penalidades civis, o que significa que as organizações devem pagar pesadas multas ou acordos. Algumas pessoas podem até enfrentar pena de prisão se o governo acreditar que as suas ações são criminosas ou criminosamente negligentes.
Crucialmente, o governo observa que mesmo aqueles que não têm conhecimento dos actos podem enfrentar repercussões legais – pode responsabilizar civilmente as pessoas mesmo que não saibam que as suas acções eram ilegais. Se uma empresa entrar em pânico e pagar o resgate assim que ocorrer um ataque, ela ainda terá que responder perante a OFAC, CISA e outras agências.
As organizações devem lembrar que o governo local também tem uma posição em relação ao ransomware – a maioria impõe multas e repercussões legais. Cada estado e território dos EUA tem seus próprios mandatos e penalidades para relatórios de violação de dados.
Embora as leis específicas de cada estado sejam diferentes, cada uma
Embora muitos estados desencorajem pagamentos de resgate – alguns até proibiram a comunicação com invasores de ransomware – suas multas geralmente estão relacionadas à privacidade de dados. As autoridades locais e as entidades públicas não têm tanto poder quanto o governo federal, por isso normalmente não se envolvem nos assuntos privados das pessoas.
Eles ainda podem reagir rapidamente a violações de dados e aplicarão multas se sentirem necessidade. Desde
As organizações terão problemas legais se pagarem uma demanda de ransomware. Como o governo federal considera os pagamentos um financiamento para entidades criminosas, reagirá rapidamente. As multas variam de alguns milhares de dólares a milhões – muitas vezes um impacto financeiro maior do que o resgate inicial.
Além das multas, as agências de aplicação da lei poderiam entregar o caso ao Departamento de Justiça. Eles também podem levar a organização inadimplente a tribunal, onde as penalidades financeiras e de reputação serão muito mais severas.
Além disso, se o governo descobrir que uma empresa se esforçou para encobrir um pagamento de ransomware, poderá considerá-la criminalmente responsável. As penalidades criminais são muito mais severas e – dependendo das especificidades – podem até resultar em pena de prisão.
Em vez de pagar o resgate, as organizações devem contactar as autoridades competentes. A Lei de Fortalecimento da Cibersegurança Americana (SAC) de 2022 declara que todas as organizações de infraestrutura nacional crítica devem divulgar ataques de ransomware à Agência de Segurança Cibernética e de Infraestrutura (CISA).
Contudo, a presença da CISA é apenas o primeiro passo. Eles também devem entrar em contato com o Departamento de Segurança Interna, o departamento de sanções e avaliação de conformidade do OFAC e a força-tarefa cibernética do FBI. Essas agências lidam com ataques de ransomware o tempo todo e sabem a melhor maneira de lidar com eles.
A maioria das empresas entra em pânico quando percebe que um invasor bloqueou seus dados atrás de um acesso pago malicioso. Ainda assim, satisfazer as suas exigências é uma das piores abordagens. Embora uma organização possa receber multas de segurança e privacidade quando for para a aplicação da lei, ela evita ter que pagar centenas de milhares de dólares por violar a IEEPA, a TWEA ou a Lei de Fortalecimento da Segurança Cibernética Americana.