Kuruluşlar bir fidye yazılımı saldırısı sırasında en iyi stratejinin saldırganın taleplerini karşılamak olduğunu düşünse de, bunu yapmak onları yasal açıdan sıkıntıya sokabilir. Federal hükümet olaya dahil olduğunda mali yansımaları fidyenin kendisinden daha önemli olacaktır. İşte şirketlerin bu durumda varlıklarını korumak için yapması ve kaçınması gerekenler.
Fidye yazılımı saldırıları her sektörü büyük ölçüde etkiler. Maalesef giderek ağırlaşıyorlar. Olaylar'
Aslında,
Fidye yazılımı saldırısı sırasında fidye ödemek teknik olarak yasa dışıdır. Sonuçta saldırganın nerede olduğunu takip etmek veya kimin için çalıştığını bulmak neredeyse imkansız. Hükümet, ABD'nin terör gruplarına veya ambargo altındaki ülkelere fon sağlayan kuruluşlarına karşı çıkıyor.
Yasadışı olmasına rağmen kuruluşlar neden fidye ödüyor? Birçoğu bunun yasallığını bilmese de, bazıları bunun en iyi seçim olduğuna inandıkları için bunu yapıyor. Maliyet analizinin ardından cezaları ödemenin daha ucuz olabileceğini fark ediyorlar.
Kötü amaçlı yazılım saldırısı içeren
Siber saldırıları ve fidye yazılımlarını çevreleyen birçok yerel ve federal talimat vardır. Amerika Birleşik Devletleri'nde yaşayan veya iş yapan kişilerin bu yasal gerekliliklere uyması gerekir.
Kuruluşlar için temel yasalar ve hususlar şunlardır:
Kesin raporlama zorunlulukları eyalete ve sektöre göre değişmekle birlikte, bunların tümü kuruluşların emniyet teşkilatlarını bilgilendirmesini gerektirir. Kişiler durumu kontrol altına alsalar dahi yine de ilgili makamlara bildirmeleri gerekmektedir.
Federal hükümetin fidye yazılımıyla ilgili açık ve kapsamlı yasaları olmasa da fidye ödemelerini bir tür işlem olarak görüyor. Bu teknik özellik nedeniyle saldırganla etkileşime geçmek yasa dışıdır; bunu yapmak, ağır cezalarla sonuçlanabilir. ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi (OFAC) bu olayların çoğunu denetlemektedir.
Uluslararası Acil Durum Ekonomik Güçler Yasası (IEEPA) ve Düşmanla Ticaret Yasası (TWEA), yabancı finansal etkileşime karşı katı kurallara sahiptir. BT
Bu yasa ve yasalar fidye ödemelerini açıkça ele almayabilir ancak fidye yazılımlarını kapsar. Yaptırım ihlalleri genellikle hukuki cezalarla sonuçlanır; bu da kuruluşların ağır para cezaları veya tazminatlar ödemesi gerektiği anlamına gelir. Hatta bazı kişiler, hükümetin eylemlerinin suç teşkil ettiğine veya suç teşkil eden ihmalkarlık olduğuna inanması halinde hapis cezasıyla bile karşı karşıya kalabilir.
En önemlisi, hükümet, eylemlerden habersiz olanların bile yasal sonuçlarla karşı karşıya kalabileceğini belirtiyor; eylemlerinin yasa dışı olduğunu bilmeseler bile insanları hukuki olarak sorumlu tutabilir. Bir şirket saldırı meydana gelir gelmez paniğe kapılır ve fidyeyi öderse yine de OFAC, CISA ve diğer kurumlara hesap vermek zorunda kalacaktır.
Kuruluşlar, yerel yönetimlerinin de fidye yazılımlarına karşı bir tutumu olduğunu unutmamalıdır; bunların çoğu para cezası ve yasal sonuçlar doğurur. Her eyaletin ve ABD bölgesinin kendi veri ihlali raporlama talimatları ve cezaları vardır.
Her eyaletin kendine özgü yasaları farklılık gösterse de her biri
Pek çok eyalet fidye ödemelerini caydırırken (hatta bazıları fidye yazılımı saldırganlarıyla iletişimi bile yasakladı), cezaları genellikle veri gizliliğiyle ilgili. Yerel kolluk kuvvetleri ve kamu kurumlarının federal hükümet kadar yetkisi yoktur, dolayısıyla genellikle insanların özel işlerine karışmazlar.
Yine de veri ihlallerine hızlı bir şekilde tepki verebilirler ve ihtiyaç duymaları halinde para cezası uygulayabilirler. O zamandan beri
Kuruluşlar fidye yazılımı talebini ödemeleri durumunda yasal sorunlarla karşılaşacaklardır. Federal hükümet ödemelerin suç teşkilatlarına fon sağladığını düşündüğü için hızlı bir şekilde tepki verecektir. Cezalar birkaç bin dolardan milyonlara kadar değişiyor; çoğu zaman ilk fidyeden daha büyük bir mali darbe oluyor.
Para cezalarına ek olarak, kolluk kuvvetleri davayı Adalet Bakanlığı'na devredebilir. Ayrıca, kurallara uymayan kuruluşu, mali ve itibari cezaların çok daha ağır olacağı mahkemeye de götürebilirler.
Dahası, hükümet bir işletmenin fidye yazılımı ödemesini gizlemek için yolunun dışına çıktığını tespit ederse, onu cezai açıdan sorumlu bulabilir. Cezai cezalar çok daha ağırdır ve ayrıntılara bağlı olarak hapis cezasıyla bile sonuçlanabilir.
Kuruluşların fidyeyi ödemek yerine ilgili makamlara başvurması gerekiyor. 2022 Amerikan Siber Güvenliği Güçlendirme Yasası (SAC), tüm kritik ulusal altyapı kuruluşlarının fidye yazılımı saldırılarını Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) bildirmesi gerektiğini belirtiyor.
Ancak CISA'nın varlığı yalnızca ilk adımdır. Ayrıca İç Güvenlik Bakanlığı, OFAC'ın yaptırımlar ve uyumluluk değerlendirme departmanı ve FBI'ın siber görev gücüyle de iletişime geçmeleri gerekiyor. Bu kurumlar her zaman fidye yazılımı saldırılarıyla uğraşır ve bunlarla başa çıkmanın en iyi yolunu bilir.
Çoğu şirket, bir saldırganın verilerini kötü niyetli bir ödeme duvarının arkasına kilitlediğini fark ettiğinde paniğe kapılır. Ama yine de onların taleplerini karşılamak en kötü yaklaşımlardan biri. Bir kuruluş kolluk kuvvetlerine başvurduğunda güvenlik ve gizlilik cezaları alabilirken, IEEPA, TWEA veya Amerikan Siber Güvenliğin Güçlendirilmesi Yasası'nı ihlal ettiği için yüz binlerce dolar ödemek zorunda kalmaz.