Ý nghĩa pháp lý của việc thanh toán các yêu cầu về ransomware là gì?

Mặc dù các tổ chức có thể nghĩ rằng chiến lược tốt nhất trong cuộc tấn công bằng ransomware là đáp ứng yêu cầu của kẻ tấn công, nhưng làm như vậy có thể khiến họ gặp rắc rối hợp pháp. Một khi chính phủ liên bang vào cuộc, hậu quả tài chính sẽ nghiêm trọng hơn chính khoản tiền chuộc. Dưới đây là những gì các công ty nên làm và tránh trong tình huống này để bảo vệ tài sản của mình.

Hầu hết các tổ chức có trả tiền chuộc không?

Các cuộc tấn công ransomware tác động nặng nề đến mọi ngành công nghiệp. Thật không may, chúng ngày càng nghiêm trọng hơn. Những sự cố' chi phí vượt quá 400 triệu USD vào năm 2020, cao gấp bốn lần so với tổng số năm 2019. Những cuộc tấn công này đe dọa sinh kế của người dân, khiến nhiều người cảm thấy vô cùng áp lực phải trả tiền chuộc.

Trong thực tế, khoảng 50% nạn nhân trả tiền chuộc. Tuy nhiên, mặc dù hầu hết đều nhượng bộ trước yêu cầu của kẻ tấn công, nhưng chỉ có 4% lấy lại được tất cả dữ liệu của họ được giải mã và nguyên vẹn. Mặc dù việc tuân thủ có vẻ là cách tiếp cận tốt nhất nhưng nó thường không mang lại kết quả.

Trả tiền chuộc có vi phạm pháp luật không?

Về mặt kỹ thuật, việc trả tiền chuộc trong một cuộc tấn công bằng ransomware là bất hợp pháp. Rốt cuộc, gần như không thể theo dõi kẻ tấn công ở đâu hoặc tìm ra họ làm việc cho ai - và chính phủ không hài lòng với các thực thể Hoa Kỳ tài trợ cho các nhóm khủng bố hoặc các quốc gia đang bị cấm vận.

Tại sao các tổ chức lại trả tiền chuộc dù việc đó là bất hợp pháp? Trong khi nhiều người có thể không biết về tính hợp pháp của nó, một số người vẫn chấp nhận vì họ tin rằng đó là lựa chọn tốt nhất. Sau khi phân tích chi phí, họ nhận ra rằng việc trả tiền phạt có thể ít tốn kém hơn.

Chứa một cuộc tấn công phần mềm độc hại mất khoảng 50 ngày trung bình - thời gian ngừng hoạt động kéo dài này có thể làm giảm doanh số và danh tiếng của thương hiệu. Thay vì mất dữ liệu vĩnh viễn, phải đối mặt với sự giám sát của chính phủ và nhận phản ứng dữ dội của công chúng, một số người đã lặng lẽ trả tiền cho kẻ tấn công. Nó có vẻ giống như một rủi ro được tính toán trước, nhưng những hậu quả tiềm ẩn thường không đáng có.

Cân nhắc pháp lý cho các cuộc tấn công ransomware

Nhiều quy định của địa phương và liên bang xoay quanh các cuộc tấn công mạng và phần mềm tống tiền. Những người sống hoặc kinh doanh tại Hoa Kỳ phải tuân thủ các yêu cầu pháp lý này.

Dưới đây là các luật chính và những cân nhắc dành cho tổ chức:

• Thông báo cho các bên liên quan: Các tổ chức thường phải thông báo cho các bên liên quan của mình về một cuộc tấn công bằng ransomware. Tùy theo luật pháp địa phương, họ có thể phải đưa ra tuyên bố công khai hoặc thông báo cho tất cả khách hàng.
• Trả tiền chuộc: Chính phủ liên bang và địa phương có những quy định nghiêm ngặt chống lại việc này vì đây là vấn đề an ninh - họ coi đó là nguồn tài trợ hoặc hỗ trợ.
• Thông báo cho cơ quan thực thi pháp luật: Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) tuyên bố báo cáo kịp thời là bắt buộc cho tất cả các sự cố ransomware. Nạn nhân phải thông báo cho các cơ quan chính phủ Hoa Kỳ có liên quan.
• Thông báo cho khách hàng: Các tổ chức phải thông báo cho khách hàng nếu cuộc tấn công bằng ransomware ảnh hưởng đến bảo mật dữ liệu. Rốt cuộc, quyền riêng tư của họ sẽ gặp rủi ro nếu những kẻ tấn công tiết lộ thông tin cá nhân hoặc tài chính của họ.

Mặc dù nhiệm vụ báo cáo chính xác khác nhau tùy theo tiểu bang và ngành, nhưng tất cả đều yêu cầu các tổ chức phải thông báo cho các cơ quan thực thi pháp luật. Ngay cả khi người dân đã kiểm soát được tình hình thì vẫn phải trình báo với cơ quan chức năng.

Yêu cầu của Chính phủ Liên bang là gì?

Mặc dù chính phủ liên bang không có luật rõ ràng, toàn diện về phần mềm tống tiền nhưng họ coi việc thanh toán tiền chuộc là một loại giao dịch. Vì tính kỹ thuật này, việc tương tác với kẻ tấn công là bất hợp pháp — làm như vậy có thể phải chịu những hình phạt khắc nghiệt. Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ giám sát hầu hết các sự cố này.

Đạo luật Quyền lực Kinh tế Khẩn cấp Quốc tế (IEEPA) và Đạo luật Giao dịch với Kẻ thù (TWEA) có các quy định nghiêm ngặt chống lại sự tham gia tài chính nước ngoài. Nó thực hiện giao dịch là bất hợp pháp với bất kỳ cá nhân hoặc tổ chức nào trong danh sách Những người bị chỉ định đặc biệt và những người bị phong tỏa của OFAC. Ngoài ra, kinh doanh với những người bị cấm vận là một tội ác.

Các đạo luật và luật này có thể không thảo luận rõ ràng về việc thanh toán tiền chuộc nhưng chúng đề cập đến phần mềm tống tiền. Các hành vi vi phạm lệnh trừng phạt thường dẫn đến hình phạt dân sự, nghĩa là các tổ chức phải nộp phạt hoặc bồi thường nặng nề. Một số người thậm chí có thể phải đối mặt với án tù nếu chính phủ tin rằng hành động của họ là phạm tội hoặc cẩu thả về mặt hình sự.

Điều quan trọng là chính phủ lưu ý ngay cả những người không biết về hành vi này cũng có thể phải đối mặt với hậu quả pháp lý - nó có thể buộc mọi người phải chịu trách nhiệm dân sự ngay cả khi họ không biết hành động của mình là bất hợp pháp. Nếu một công ty hoảng loạn và trả tiền chuộc ngay khi cuộc tấn công xảy ra, công ty đó vẫn sẽ phải trả lời OFAC, CISA và các cơ quan khác.

Yêu cầu của chính quyền địa phương là gì?

Các tổ chức phải nhớ rằng chính quyền địa phương của họ cũng có lập trường đối với phần mềm tống tiền — hầu hết đều áp đặt các khoản tiền phạt và hậu quả pháp lý. Mỗi tiểu bang và lãnh thổ Hoa Kỳ đều có quy định và hình phạt riêng về việc báo cáo vi phạm dữ liệu.

Mặc dù luật cụ thể của mỗi tiểu bang khác nhau, nhưng mỗi luật yêu cầu các đơn vị thông báo cho các bên liên quan và thực thi pháp luật. Các cơ sở địa phương thường không được trang bị để đối phó với ransomware, do đó trách nhiệm thuộc về các cơ quan liên bang như FBI, CISA hoặc Bộ An ninh Nội địa.

Trong khi nhiều tiểu bang không khuyến khích thanh toán tiền chuộc – một số thậm chí còn cấm liên lạc với những kẻ tấn công ransomware – tiền phạt của họ thường liên quan đến quyền riêng tư dữ liệu. Cơ quan thực thi pháp luật địa phương và các tổ chức công không có nhiều quyền lực như chính phủ liên bang, vì vậy họ thường không can dự vào các vấn đề riêng tư của người dân.

Họ vẫn có thể phản ứng nhanh chóng với các hành vi vi phạm dữ liệu và sẽ đưa ra các khoản phạt nếu họ cảm thấy cần thiết. Từ gần 50% số kẻ tấn công đánh cắp dữ liệu trước khi bắt đầu cuộc tấn công bằng ransomware, các tổ chức có thể sẽ phải tuân theo luật pháp của bang mình.

Tại sao các tổ chức không nên trả tiền chuộc?

Các tổ chức sẽ gặp các vấn đề pháp lý nếu họ trả tiền theo yêu cầu về ransomware. Vì chính phủ liên bang coi các khoản thanh toán là tài trợ cho các tổ chức tội phạm nên họ sẽ phản ứng nhanh chóng. Số tiền phạt dao động từ vài nghìn đô la đến hàng triệu đô la - thường là một khoản tiền lớn hơn số tiền chuộc ban đầu.

Ngoài phạt tiền, các cơ quan thực thi pháp luật có thể chuyển vụ việc cho Bộ Tư pháp. Họ cũng có thể đưa tổ chức không tuân thủ ra tòa, nơi các hình phạt về tài chính và danh tiếng sẽ nghiêm khắc hơn nhiều.

Hơn nữa, nếu chính phủ phát hiện một doanh nghiệp đã cố tình che đậy khoản thanh toán bằng ransomware, họ có thể phải chịu trách nhiệm hình sự. Hình phạt hình sự nghiêm khắc hơn nhiều và - tùy vào từng trường hợp cụ thể - thậm chí có thể phải ngồi tù.

Thay vào đó, các tổ chức nên làm gì?

Thay vì trả tiền chuộc, các tổ chức nên liên hệ với các cơ quan hữu quan. Đạo luật tăng cường an ninh mạng Hoa Kỳ (SAC) năm 2022 quy định tất cả các tổ chức cơ sở hạ tầng quan trọng của quốc gia phải tiết lộ các cuộc tấn công bằng ransomware cho Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA) trong vòng chưa đầy 72 giờ hoặc phải đối mặt với hình phạt. Nếu nạn nhân trả tiền chuộc, thời gian sẽ giảm xuống còn 24 giờ.

Tuy nhiên, sự có mặt của CISA chỉ là bước đầu. Họ cũng nên liên hệ với Bộ An ninh Nội địa, bộ phận đánh giá tuân thủ và trừng phạt của OFAC cũng như lực lượng đặc nhiệm mạng của FBI. Các cơ quan này luôn đối phó với các cuộc tấn công bằng ransomware và biết cách tốt nhất để xử lý chúng.

Bỏ qua các yêu cầu của Ransomware là cách tiếp cận tốt nhất

Hầu hết các công ty đều hoảng sợ khi nhận ra kẻ tấn công đã khóa dữ liệu của họ sau một bức tường phí độc hại. Tuy nhiên, đáp ứng nhu cầu của họ là một trong những cách tiếp cận tồi tệ nhất. Mặc dù một tổ chức có thể nhận các khoản phạt về bảo mật và quyền riêng tư sau khi chuyển sang cơ quan thực thi pháp luật, nhưng tổ chức đó sẽ tránh phải trả hàng trăm nghìn đô la vì vi phạm IEEPA, TWEA hoặc Đạo luật tăng cường an ninh mạng của Mỹ.