虽然组织可能认为勒索软件攻击期间的最佳策略是满足攻击者的要求,但这样做可能会让他们陷入法律困境。一旦联邦政府介入,经济影响将比赎金本身更严重。以下是公司在这种情况下应该采取和避免的措施,以保护其资产。
勒索软件攻击严重影响每个行业。不幸的是,他们变得越来越严重。事件的
实际上,
从技术上讲,在勒索软件攻击期间支付赎金是非法的。毕竟,几乎不可能追踪袭击者在哪里或查明他们为谁工作,而且政府对资助恐怖组织或处于禁运国家的美国实体不悦。
尽管这是非法的,为什么组织还要支付赎金?虽然许多人可能不知道其合法性,但有些人还是选择了它,因为他们认为这是最好的选择。经过成本分析后,他们意识到支付罚款可能会更便宜。
包含恶意软件攻击
许多地方和联邦法规都围绕网络攻击和勒索软件。在美国生活或做生意的人必须遵守这些法律要求。
以下是组织的主要法律和注意事项:
虽然确切的报告任务因州和行业而异,但它们都要求组织通知执法机构。即使人们已经控制了局势,他们仍然必须向有关当局披露。
尽管联邦政府没有关于勒索软件的明确、全面的法律,但它认为赎金支付是一种交易。由于这种技术性,与攻击者接触是非法的——这样做可能会导致严厉的处罚。美国财政部外国资产控制办公室 (OFAC) 负责监管大部分此类事件。
《国际紧急经济权力法》(IEEPA)和《与敌人贸易法》(TWEA)对外国金融参与有严格的规定。它
这些法案和法律可能没有明确讨论赎金支付,但它们涵盖了勒索软件。违反制裁通常会导致民事处罚,这意味着组织必须支付高额罚款或和解金。如果政府认为某些人的行为构成犯罪或刑事疏忽,他们甚至可能面临牢狱之灾。
至关重要的是,政府指出,即使那些不知道这些行为的人也可能面临法律后果——即使人们不知道自己的行为是非法的,它也可以让人们承担民事责任。如果一家公司在攻击发生后陷入恐慌并支付赎金,它仍然需要向 OFAC、CISA 和其他机构负责。
组织必须记住,当地政府对勒索软件也有自己的立场——大多数会处以罚款并承担法律后果。每个州和美国领地都有自己的数据泄露报告规定和处罚措施。
虽然每个州的具体法律有所不同,但每个州
尽管许多州不鼓励支付赎金——有些州甚至禁止与勒索软件攻击者进行通信——但他们的罚款通常与数据隐私有关。地方执法机构和公共实体没有联邦政府那么大的权力,因此他们通常不会介入人们的私人事务。
他们仍然可以对数据泄露做出迅速反应,并在认为有必要时处以罚款。自从
如果组织支付勒索软件的要求,就会遇到法律问题。由于联邦政府认为付款是为犯罪实体提供资金,因此他们会迅速做出反应。罚款从几千美元到数百万美元不等——通常比最初的赎金更多的是经济损失。
除了罚款之外,执法机构还可以将案件移交给司法部。他们还可以将不合规组织告上法庭,经济和声誉处罚将更加严厉。
此外,如果政府发现一家企业不遗余力地掩盖勒索软件付款,可能会认定其承担刑事责任。刑事处罚要严厉得多,根据具体情况,甚至可能导致入狱。
组织不应支付赎金,而应联系有关当局。 2022 年《加强美国网络安全法案》(SAC) 规定,所有关键的国家基础设施组织必须向网络安全和基础设施安全局 (CISA) 披露勒索软件攻击
然而,CISA 的出现只是第一步。他们还应该联系国土安全部、OFAC 的制裁和合规评估部门以及 FBI 的网络工作组。这些机构一直在应对勒索软件攻击,并且知道处理这些攻击的最佳方法。
当大多数公司意识到攻击者已将他们的数据锁定在恶意付费墙后面时,他们会感到恐慌。尽管如此,满足他们的要求仍然是最糟糕的方法之一。虽然组织一旦进入执法部门可能会收到安全和隐私罚款,但它可以避免因违反 IEEPA、TWEA 或加强美国网络安全法案而支付数十万美元。