Fidye Yazılımı Taleplerini Ödemenin Yasal Sonuçları Nelerdir?

Kuruluşlar bir fidye yazılımı saldırısı sırasında en iyi stratejinin saldırganın taleplerini karşılamak olduğunu düşünse de, bunu yapmak onları yasal açıdan sıkıntıya sokabilir. Federal hükümet olaya dahil olduğunda mali yansımaları fidyenin kendisinden daha önemli olacaktır. İşte şirketlerin bu durumda varlıklarını korumak için yapması ve kaçınması gerekenler.

Çoğu Kuruluş Fidyeyi Ödüyor mu?

Fidye yazılımı saldırıları her sektörü büyük ölçüde etkiler. Maalesef giderek ağırlaşıyorlar. Olaylar' Maliyet 400 milyon doları aştı 2020'de 2019 toplamının dört katı. Bu saldırılar insanların geçim kaynaklarını tehdit ediyor, pek çok kişi fidyeyi ödeme konusunda aşırı baskı hissediyor.

Aslında, Kurbanların yaklaşık yüzde 50'si fidyeyi öde. Ancak çoğu kişi saldırganların taleplerine boyun eğse de yalnızca %4'ü tüm verilerini şifresi çözülmüş ve sağlam bir şekilde geri alıyor. Uyum sağlamak en iyi yaklaşım gibi görünse de çoğu zaman işe yaramaz.

Fidyeyi Ödemek Yasadışı mı?

Fidye yazılımı saldırısı sırasında fidye ödemek teknik olarak yasa dışıdır. Sonuçta saldırganın nerede olduğunu takip etmek veya kimin için çalıştığını bulmak neredeyse imkansız. Hükümet, ABD'nin terör gruplarına veya ambargo altındaki ülkelere fon sağlayan kuruluşlarına karşı çıkıyor.

Yasadışı olmasına rağmen kuruluşlar neden fidye ödüyor? Birçoğu bunun yasallığını bilmese de, bazıları bunun en iyi seçim olduğuna inandıkları için bunu yapıyor. Maliyet analizinin ardından cezaları ödemenin daha ucuz olabileceğini fark ediyorlar.

Kötü amaçlı yazılım saldırısı içeren yaklaşık 50 gün sürer Ortalama olarak bu uzun süreli kesinti, bir markanın satışlarını ve itibarını zedeleyebilir. Verilerini kalıcı olarak kaybetmek, hükümetin incelemesine maruz kalmak ve kamuoyunun tepkisine maruz kalmak yerine, bazıları sessizce saldırgana ödeme yapıyor. Hesaplanmış bir risk gibi görünebilir, ancak potansiyel yansımaları genellikle buna değmez.

Fidye Yazılımı Saldırılarına İlişkin Yasal Hususlar

Siber saldırıları ve fidye yazılımlarını çevreleyen birçok yerel ve federal talimat vardır. Amerika Birleşik Devletleri'nde yaşayan veya iş yapan kişilerin bu yasal gerekliliklere uyması gerekir.

Kuruluşlar için temel yasalar ve hususlar şunlardır:

• Paydaşların bilgilendirilmesi: Kuruluşların genellikle paydaşlarını bir fidye yazılımı saldırısı konusunda bilgilendirmesi gerekir. Yerel yasalara bağlı olarak kamuya açıklama yapmaları veya tüm müşterilere bildirimde bulunmaları gerekebilir.
• Fidye ödemek: Federal ve yerel yönetimlerin buna karşı katı kuralları var çünkü bu bir güvenlik meselesi; bunu finansman veya destek olarak görüyorlar.
• Kolluk kuvvetlerine bildirim: Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) şunu belirtir: Zamanında raporlama zorunludur tüm fidye yazılımı olayları için. Mağdurlar ilgili ABD devlet kurumlarını bilgilendirmelidir.
• Müşterilerin bilgilendirilmesi: Bir fidye yazılımı saldırısının veri güvenliğini etkilemesi durumunda kuruluşların müşterileri bilgilendirmesi gerekir. Sonuçta saldırganların kişisel veya finansal bilgilerini ifşa etmesi halinde gizlilikleri risk altına girer.

Kesin raporlama zorunlulukları eyalete ve sektöre göre değişmekle birlikte, bunların tümü kuruluşların emniyet teşkilatlarını bilgilendirmesini gerektirir. Kişiler durumu kontrol altına alsalar dahi yine de ilgili makamlara bildirmeleri gerekmektedir.

Federal Hükümetin Gereksinimleri Nelerdir?

Federal hükümetin fidye yazılımıyla ilgili açık ve kapsamlı yasaları olmasa da fidye ödemelerini bir tür işlem olarak görüyor. Bu teknik özellik nedeniyle saldırganla etkileşime geçmek yasa dışıdır; bunu yapmak, ağır cezalarla sonuçlanabilir. ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi (OFAC) bu olayların çoğunu denetlemektedir.

Uluslararası Acil Durum Ekonomik Güçler Yasası (IEEPA) ve Düşmanla Ticaret Yasası (TWEA), yabancı finansal etkileşime karşı katı kurallara sahiptir. BT bir işlem yapmak yasa dışıdır OFAC'ın Özel Olarak Belirlenmiş Vatandaşlar ve Engellenen Kişiler listesindeki herhangi bir kişi veya kuruluşla. Ayrıca ambargo altındakilerle iş yapmak da suçtur.

Bu yasa ve yasalar fidye ödemelerini açıkça ele almayabilir ancak fidye yazılımlarını kapsar. Yaptırım ihlalleri genellikle hukuki cezalarla sonuçlanır; bu da kuruluşların ağır para cezaları veya tazminatlar ödemesi gerektiği anlamına gelir. Hatta bazı kişiler, hükümetin eylemlerinin suç teşkil ettiğine veya suç teşkil eden ihmalkarlık olduğuna inanması halinde hapis cezasıyla bile karşı karşıya kalabilir.

En önemlisi, hükümet, eylemlerden habersiz olanların bile yasal sonuçlarla karşı karşıya kalabileceğini belirtiyor; eylemlerinin yasa dışı olduğunu bilmeseler bile insanları hukuki olarak sorumlu tutabilir. Bir şirket saldırı meydana gelir gelmez paniğe kapılır ve fidyeyi öderse yine de OFAC, CISA ve diğer kurumlara hesap vermek zorunda kalacaktır.

Yerel Yönetimlerin Gereksinimleri Nelerdir?

Kuruluşlar, yerel yönetimlerinin de fidye yazılımlarına karşı bir tutumu olduğunu unutmamalıdır; bunların çoğu para cezası ve yasal sonuçlar doğurur. Her eyaletin ve ABD bölgesinin kendi veri ihlali raporlama talimatları ve cezaları vardır.

Her eyaletin kendine özgü yasaları farklılık gösterse de her biri kuruluşların paydaşları bilgilendirmesini gerektirir ve kolluk kuvvetleri. Yerel tesisler genellikle fidye yazılımlarıyla başa çıkabilecek donanıma sahip olmadığından sorumluluk FBI, CISA veya İç Güvenlik Bakanlığı gibi federal kurumlara düşüyor.

Pek çok eyalet fidye ödemelerini caydırırken (hatta bazıları fidye yazılımı saldırganlarıyla iletişimi bile yasakladı), cezaları genellikle veri gizliliğiyle ilgili. Yerel kolluk kuvvetleri ve kamu kurumlarının federal hükümet kadar yetkisi yoktur, dolayısıyla genellikle insanların özel işlerine karışmazlar.

Yine de veri ihlallerine hızlı bir şekilde tepki verebilirler ve ihtiyaç duymaları halinde para cezası uygulayabilirler. O zamandan beri Saldırganların neredeyse %50'si Fidye yazılımı saldırısına başlamadan önce verileri çalan kuruluşlar muhtemelen eyaletlerinin yasalarına uymak zorunda kalacaklardır.

Kuruluşlar Neden Fidye Ödememeli?

Kuruluşlar fidye yazılımı talebini ödemeleri durumunda yasal sorunlarla karşılaşacaklardır. Federal hükümet ödemelerin suç teşkilatlarına fon sağladığını düşündüğü için hızlı bir şekilde tepki verecektir. Cezalar birkaç bin dolardan milyonlara kadar değişiyor; çoğu zaman ilk fidyeden daha büyük bir mali darbe oluyor.

Para cezalarına ek olarak, kolluk kuvvetleri davayı Adalet Bakanlığı'na devredebilir. Ayrıca, kurallara uymayan kuruluşu, mali ve itibari cezaların çok daha ağır olacağı mahkemeye de götürebilirler.

Dahası, hükümet bir işletmenin fidye yazılımı ödemesini gizlemek için yolunun dışına çıktığını tespit ederse, onu cezai açıdan sorumlu bulabilir. Cezai cezalar çok daha ağırdır ve ayrıntılara bağlı olarak hapis cezasıyla bile sonuçlanabilir.

Kuruluşlar Bunun yerine Ne Yapmalı?

Kuruluşların fidyeyi ödemek yerine ilgili makamlara başvurması gerekiyor. 2022 Amerikan Siber Güvenliği Güçlendirme Yasası (SAC), tüm kritik ulusal altyapı kuruluşlarının fidye yazılımı saldırılarını Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA) bildirmesi gerektiğini belirtiyor. 72 saatten kısa sürede veya cezalarla karşı karşıya kalacaksınız. Kurban fidye öderse süre 24 saate iniyor.

Ancak CISA'nın varlığı yalnızca ilk adımdır. Ayrıca İç Güvenlik Bakanlığı, OFAC'ın yaptırımlar ve uyumluluk değerlendirme departmanı ve FBI'ın siber görev gücüyle de iletişime geçmeleri gerekiyor. Bu kurumlar her zaman fidye yazılımı saldırılarıyla uğraşır ve bunlarla başa çıkmanın en iyi yolunu bilir.

Fidye Yazılımı Taleplerini Göz Ardı Etmek En İyi Yaklaşımdır

Çoğu şirket, bir saldırganın verilerini kötü niyetli bir ödeme duvarının arkasına kilitlediğini fark ettiğinde paniğe kapılır. Ama yine de onların taleplerini karşılamak en kötü yaklaşımlardan biri. Bir kuruluş kolluk kuvvetlerine başvurduğunda güvenlik ve gizlilik cezaları alabilirken, IEEPA, TWEA veya Amerikan Siber Güvenliğin Güçlendirilmesi Yasası'nı ihlal ettiği için yüz binlerce dolar ödemek zorunda kalmaz.