Mặc dù các tổ chức có thể nghĩ rằng chiến lược tốt nhất trong cuộc tấn công bằng ransomware là đáp ứng yêu cầu của kẻ tấn công, nhưng làm như vậy có thể khiến họ gặp rắc rối hợp pháp. Một khi chính phủ liên bang vào cuộc, hậu quả tài chính sẽ nghiêm trọng hơn chính khoản tiền chuộc. Dưới đây là những gì các công ty nên làm và tránh trong tình huống này để bảo vệ tài sản của mình.
Các cuộc tấn công ransomware tác động nặng nề đến mọi ngành công nghiệp. Thật không may, chúng ngày càng nghiêm trọng hơn. Những sự cố'
Trong thực tế,
Về mặt kỹ thuật, việc trả tiền chuộc trong một cuộc tấn công bằng ransomware là bất hợp pháp. Rốt cuộc, gần như không thể theo dõi kẻ tấn công ở đâu hoặc tìm ra họ làm việc cho ai - và chính phủ không hài lòng với các thực thể Hoa Kỳ tài trợ cho các nhóm khủng bố hoặc các quốc gia đang bị cấm vận.
Tại sao các tổ chức lại trả tiền chuộc dù việc đó là bất hợp pháp? Trong khi nhiều người có thể không biết về tính hợp pháp của nó, một số người vẫn chấp nhận vì họ tin rằng đó là lựa chọn tốt nhất. Sau khi phân tích chi phí, họ nhận ra rằng việc trả tiền phạt có thể ít tốn kém hơn.
Chứa một cuộc tấn công phần mềm độc hại
Nhiều quy định của địa phương và liên bang xoay quanh các cuộc tấn công mạng và phần mềm tống tiền. Những người sống hoặc kinh doanh tại Hoa Kỳ phải tuân thủ các yêu cầu pháp lý này.
Dưới đây là các luật chính và những cân nhắc dành cho tổ chức:
Mặc dù nhiệm vụ báo cáo chính xác khác nhau tùy theo tiểu bang và ngành, nhưng tất cả đều yêu cầu các tổ chức phải thông báo cho các cơ quan thực thi pháp luật. Ngay cả khi người dân đã kiểm soát được tình hình thì vẫn phải trình báo với cơ quan chức năng.
Mặc dù chính phủ liên bang không có luật rõ ràng, toàn diện về phần mềm tống tiền nhưng họ coi việc thanh toán tiền chuộc là một loại giao dịch. Vì tính kỹ thuật này, việc tương tác với kẻ tấn công là bất hợp pháp — làm như vậy có thể phải chịu những hình phạt khắc nghiệt. Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ giám sát hầu hết các sự cố này.
Đạo luật Quyền lực Kinh tế Khẩn cấp Quốc tế (IEEPA) và Đạo luật Giao dịch với Kẻ thù (TWEA) có các quy định nghiêm ngặt chống lại sự tham gia tài chính nước ngoài. Nó
Các đạo luật và luật này có thể không thảo luận rõ ràng về việc thanh toán tiền chuộc nhưng chúng đề cập đến phần mềm tống tiền. Các hành vi vi phạm lệnh trừng phạt thường dẫn đến hình phạt dân sự, nghĩa là các tổ chức phải nộp phạt hoặc bồi thường nặng nề. Một số người thậm chí có thể phải đối mặt với án tù nếu chính phủ tin rằng hành động của họ là phạm tội hoặc cẩu thả về mặt hình sự.
Điều quan trọng là chính phủ lưu ý ngay cả những người không biết về hành vi này cũng có thể phải đối mặt với hậu quả pháp lý - nó có thể buộc mọi người phải chịu trách nhiệm dân sự ngay cả khi họ không biết hành động của mình là bất hợp pháp. Nếu một công ty hoảng loạn và trả tiền chuộc ngay khi cuộc tấn công xảy ra, công ty đó vẫn sẽ phải trả lời OFAC, CISA và các cơ quan khác.
Các tổ chức phải nhớ rằng chính quyền địa phương của họ cũng có lập trường đối với phần mềm tống tiền — hầu hết đều áp đặt các khoản tiền phạt và hậu quả pháp lý. Mỗi tiểu bang và lãnh thổ Hoa Kỳ đều có quy định và hình phạt riêng về việc báo cáo vi phạm dữ liệu.
Mặc dù luật cụ thể của mỗi tiểu bang khác nhau, nhưng mỗi luật
Trong khi nhiều tiểu bang không khuyến khích thanh toán tiền chuộc – một số thậm chí còn cấm liên lạc với những kẻ tấn công ransomware – tiền phạt của họ thường liên quan đến quyền riêng tư dữ liệu. Cơ quan thực thi pháp luật địa phương và các tổ chức công không có nhiều quyền lực như chính phủ liên bang, vì vậy họ thường không can dự vào các vấn đề riêng tư của người dân.
Họ vẫn có thể phản ứng nhanh chóng với các hành vi vi phạm dữ liệu và sẽ đưa ra các khoản phạt nếu họ cảm thấy cần thiết. Từ
Các tổ chức sẽ gặp các vấn đề pháp lý nếu họ trả tiền theo yêu cầu về ransomware. Vì chính phủ liên bang coi các khoản thanh toán là tài trợ cho các tổ chức tội phạm nên họ sẽ phản ứng nhanh chóng. Số tiền phạt dao động từ vài nghìn đô la đến hàng triệu đô la - thường là một khoản tiền lớn hơn số tiền chuộc ban đầu.
Ngoài phạt tiền, các cơ quan thực thi pháp luật có thể chuyển vụ việc cho Bộ Tư pháp. Họ cũng có thể đưa tổ chức không tuân thủ ra tòa, nơi các hình phạt về tài chính và danh tiếng sẽ nghiêm khắc hơn nhiều.
Hơn nữa, nếu chính phủ phát hiện một doanh nghiệp đã cố tình che đậy khoản thanh toán bằng ransomware, họ có thể phải chịu trách nhiệm hình sự. Hình phạt hình sự nghiêm khắc hơn nhiều và - tùy vào từng trường hợp cụ thể - thậm chí có thể phải ngồi tù.
Thay vì trả tiền chuộc, các tổ chức nên liên hệ với các cơ quan hữu quan. Đạo luật tăng cường an ninh mạng Hoa Kỳ (SAC) năm 2022 quy định tất cả các tổ chức cơ sở hạ tầng quan trọng của quốc gia phải tiết lộ các cuộc tấn công bằng ransomware cho Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA)
Tuy nhiên, sự có mặt của CISA chỉ là bước đầu. Họ cũng nên liên hệ với Bộ An ninh Nội địa, bộ phận đánh giá tuân thủ và trừng phạt của OFAC cũng như lực lượng đặc nhiệm mạng của FBI. Các cơ quan này luôn đối phó với các cuộc tấn công bằng ransomware và biết cách tốt nhất để xử lý chúng.
Hầu hết các công ty đều hoảng sợ khi nhận ra kẻ tấn công đã khóa dữ liệu của họ sau một bức tường phí độc hại. Tuy nhiên, đáp ứng nhu cầu của họ là một trong những cách tiếp cận tồi tệ nhất. Mặc dù một tổ chức có thể nhận các khoản phạt về bảo mật và quyền riêng tư sau khi chuyển sang cơ quan thực thi pháp luật, nhưng tổ chức đó sẽ tránh phải trả hàng trăm nghìn đô la vì vi phạm IEEPA, TWEA hoặc Đạo luật tăng cường an ninh mạng của Mỹ.