Каковы юридические последствия оплаты требований программ-вымогателей?

Хотя организации могут считать, что лучшая стратегия во время атаки программы-вымогателя — это удовлетворить требования злоумышленника, это может привести к тому, что они попадут в неприятную ситуацию с законом. Как только федеральное правительство вмешается, финансовые последствия будут более значительными, чем сам выкуп. Вот что компаниям следует делать и чего избегать в этой ситуации, чтобы защитить свои активы.

Платят ли большинство организаций выкуп?

Атаки программ-вымогателей серьезно влияют на каждую отрасль. К сожалению, они становятся все более серьезными. Инциденты затраты превысили $400 млн. в 2020 году, что в четыре раза превышает показатель 2019 года. Эти нападения угрожают средствам существования людей, поэтому многие чувствуют сильное давление, требуя заплатить выкуп.

Фактически, примерно 50% жертв заплатить выкуп. Однако, несмотря на то, что большинство уступает требованиям злоумышленников, только 4% получают обратно все свои данные в расшифрованном и неповрежденном виде. Хотя соблюдение требований может показаться лучшим подходом, оно часто не окупается.

Незаконно ли платить выкуп?

Технически незаконно платить выкуп во время атаки программы-вымогателя. В конце концов, почти невозможно отследить, где находится злоумышленник, или выяснить, на кого он работает, а правительство не одобряет американские организации, финансирующие террористические группы или страны, находящиеся под эмбарго.

Почему организации платят выкуп, хотя это незаконно? Хотя многие могут не знать о его законности, некоторые соглашаются на это, потому что считают, что это лучший выбор. После анализа затрат они понимают, что оплата штрафов может оказаться менее затратной.

Сдерживание атаки вредоносного ПО занимает около 50 дней в среднем — такое длительное время простоя может подорвать продажи и репутацию бренда. Вместо того, чтобы безвозвратно потерять свои данные, столкнуться с пристальным вниманием правительства и вызвать негативную реакцию общественности, некоторые незаметно платят злоумышленнику. Это может показаться рассчитанным риском, но потенциальные последствия обычно того не стоят.

Юридические аспекты атак с использованием программ-вымогателей

Кибератаки и программы-вымогатели касаются многих местных и федеральных постановлений. Люди, живущие или ведущие бизнес в Соединенных Штатах, должны соблюдать эти законодательные требования.

Вот основные законы и соображения для организаций:

• Информирование заинтересованных сторон. Организации обычно должны информировать своих заинтересованных сторон об атаке с помощью программы-вымогателя. В зависимости от местных законов им, возможно, придется сделать публичные заявления или уведомить всех клиентов.
• Выплата выкупа: у федерального и местного правительства есть строгие правила против этого, потому что это вопрос безопасности — они рассматривают это как финансирование или поддержку.
• Уведомление правоохранительных органов: Агентство кибербезопасности и безопасности инфраструктуры (CISA) заявляет своевременная отчетность обязательна обо всех инцидентах, связанных с программами-вымогателями. Жертвы должны проинформировать соответствующие правительственные учреждения США.
• Информирование клиентов. Организации должны уведомлять клиентов, если атака с использованием программы-вымогателя влияет на безопасность данных. В конце концов, их конфиденциальность окажется под угрозой, если злоумышленники раскроют их личную или финансовую информацию.

Хотя точные требования к отчетности различаются в зависимости от штата и отрасли, все они требуют от организаций информировать правоохранительные органы. Даже если люди держат ситуацию под контролем, они все равно должны сообщить об этом соответствующим органам.

Каковы требования федерального правительства?

Хотя федеральное правительство не имеет четких и всеобъемлющих законов в отношении программ-вымогателей, оно считает выкуп своего рода транзакцией. Из-за этой формальности вступать в контакт с злоумышленником незаконно — это может повлечь за собой суровые наказания. Большинство этих инцидентов курирует Управление по контролю за иностранными активами Министерства финансов США (OFAC).

Закон о международных чрезвычайных экономических полномочиях (IEEPA) и Закон о торговле с врагом (TWEA) содержат строгие правила, запрещающие иностранное финансовое участие. Это незаконно проводить транзакцию с любым физическим или юридическим лицом, включенным в список граждан особых категорий и заблокированных лиц OFAC. Кроме того, ведение бизнеса с теми, кто находится под эмбарго, является преступлением.

В этих актах и законах, возможно, прямо не обсуждаются выплаты выкупа, но они охватывают программы-вымогатели. Нарушение санкций обычно приводит к гражданско-правовым санкциям, то есть организациям приходится платить крупные штрафы или выплачивать компенсации. Некоторым людям может даже грозить тюремное заключение, если правительство сочтет их действия преступными или преступно халатными.

Важно отметить, что правительство отмечает, что даже те, кто не знает об этих действиях, могут столкнуться с юридическими последствиями — оно может привлечь людей к гражданской ответственности, даже если они не знали, что их действия были незаконными. Если компания впадет в панику и заплатит выкуп сразу же после атаки, ей все равно придется отвечать перед OFAC, CISA и другими агентствами.

Каковы требования местных органов власти?

Организации должны помнить, что их местные органы власти также имеют свою позицию в отношении программ-вымогателей: большинство из них налагают штрафы и юридические последствия. В каждом штате и территории США действуют свои собственные требования и штрафы к сообщению об утечке данных.

Хотя конкретные законы каждого штата различаются, каждый из них требует от организаций уведомлять заинтересованные стороны и правоохранительные органы. Местные учреждения обычно не оборудованы для борьбы с программами-вымогателями, поэтому ответственность ложится на федеральные агентства, такие как ФБР, CISA или Министерство внутренней безопасности.

Хотя многие штаты не поощряют выплату выкупов (а некоторые даже запретили общение с злоумышленниками-вымогателями), их штрафы обычно связаны с конфиденциальностью данных. Местные правоохранительные органы и государственные организации не обладают такой большой властью, как федеральное правительство, поэтому они обычно не вмешиваются в частные дела людей.

Они по-прежнему могут быстро реагировать на утечку данных и налагать штрафы, если почувствуют в этом необходимость. С почти 50% нападавших украсть данные перед началом атаки с помощью программы-вымогателя, организациям, скорее всего, придется ответить на законы своего штата.

Почему организациям не следует платить выкуп?

У организаций возникнут юридические проблемы, если они оплатят требование о вымогательстве. Поскольку федеральное правительство рассматривает выплаты как финансирование преступных организаций, оно отреагирует быстро. Штрафы варьируются от нескольких тысяч долларов до миллионов, что зачастую является более серьезным финансовым ударом, чем первоначальный выкуп.

Помимо штрафов правоохранительные органы могли передать дело в Министерство юстиции. Они также могут подать на организацию, не соблюдающую требования, в суд, где финансовые и репутационные санкции будут гораздо более суровыми.

Кроме того, если правительство обнаружит, что компания изо всех сил старается скрыть платеж, полученный от программы-вымогателя, оно может привлечь ее к уголовной ответственности. Уголовные наказания гораздо более суровы и — в зависимости от особенностей — могут даже привести к тюремному заключению.

Что вместо этого следует делать организациям?

Вместо того, чтобы платить выкуп, организациям следует обратиться в соответствующие органы. Закон об усилении американской кибербезопасности (SAC) 2022 года гласит, что все критически важные национальные инфраструктурные организации должны сообщать об атаках программ-вымогателей Агентству кибербезопасности и безопасности инфраструктуры (CISA). менее чем за 72 часа или грозит штраф. Если жертва платит выкуп, срок сокращается до 24 часов.

Однако присутствие CISA – это только первый шаг. Им также следует связаться с Министерством внутренней безопасности, отделом оценки санкций и соблюдения требований OFAC, а также оперативной группой ФБР по кибербезопасности. Эти агентства постоянно сталкиваются с атаками программ-вымогателей и знают, как лучше всего с ними справиться.

Игнорирование требований программ-вымогателей — лучший подход

Большинство компаний впадают в панику, когда понимают, что злоумышленник заблокировал их данные с помощью вредоносного платного доступа. Тем не менее, удовлетворение их требований является одним из худших подходов. Хотя организация может получить штрафы за нарушение безопасности и конфиденциальности, если обратится в правоохранительные органы, ей не придется платить сотни тысяч за нарушение IEEPA, TWEA или Закона об усилении американской кибербезопасности.