支付勒索软件要求的法律含义是什么？

Zac Amos5m2023/10/14

虽然在勒索软件攻击期间支付赎金在技术上是非法的，但许多企业仍然悄悄这样做以避免进一步的损失。联邦和地方政府都有与勒索软件支付相关的法律要求。如果遭到攻击，企业应联系有关当局并避免支付赎金。

虽然组织可能认为勒索软件攻击期间的最佳策略是满足攻击者的要求，但这样做可能会让他们陷入法律困境。一旦联邦政府介入，经济影响将比赎金本身更严重。以下是公司在这种情况下应该采取和避免的措施，以保护其资产。

大多数组织支付赎金吗？

勒索软件攻击严重影响每个行业。不幸的是，他们变得越来越严重。事件的成本超过4亿美元2020 年，这一数字是 2019 年总数的四倍。这些袭击威胁着人们的生计，因此许多人感到支付赎金的巨大压力。

实际上，大约50%的受害者支付赎金。然而，尽管大多数人屈服于攻击者的要求，但只有 4% 的人将所有数据解密并完好无损地恢复回来。尽管遵守似乎是最好的方法，但它通常不会有回报。

支付赎金违法吗？

从技术上讲，在勒索软件攻击期间支付赎金是非法的。毕竟，几乎不可能追踪袭击者在哪里或查明他们为谁工作，而且政府对资助恐怖组织或处于禁运国家的美国实体不悦。

尽管这是非法的，为什么组织还要支付赎金？虽然许多人可能不知道其合法性，但有些人还是选择了它，因为他们认为这是最好的选择。经过成本分析后，他们意识到支付罚款可能会更便宜。

包含恶意软件攻击大约需要50天平均而言，这种延长的停机时间可能会损害品牌的销量和声誉。有些人并没有永久丢失数据、面临政府审查和公众强烈反对，而是悄悄向攻击者付费。这似乎是一个经过计算的风险，但潜在的后果通常并不值得。

勒索软件攻击的法律注意事项

许多地方和联邦法规都围绕网络攻击和勒索软件。在美国生活或做生意的人必须遵守这些法律要求。

以下是组织的主要法律和注意事项：

通知利益相关者：组织通常必须向其利益相关者通报勒索软件攻击。根据当地法律，他们可能必须发表公开声明或通知所有客户。
支付赎金：联邦和地方政府对此有严格的规定，因为这事关安全——他们将其视为资金或支持。
通知执法部门：网络安全和基础设施安全局 (CISA) 表示及时报告是强制性的对于所有勒索软件事件。受害者必须通知美国相关政府机构。
通知客户：如果勒索软件攻击影响数据安全，组织必须通知客户。毕竟，如果攻击者暴露他们的个人或财务信息，他们的隐私就会面临风险。

虽然确切的报告任务因州和行业而异，但它们都要求组织通知执法机构。即使人们已经控制了局势，他们仍然必须向有关当局披露。

联邦政府有什么要求？

尽管联邦政府没有关于勒索软件的明确、全面的法律，但它认为赎金支付是一种交易。由于这种技术性，与攻击者接触是非法的——这样做可能会导致严厉的处罚。美国财政部外国资产控制办公室 (OFAC) 负责监管大部分此类事件。

《国际紧急经济权力法》（IEEPA）和《与敌人贸易法》（TWEA）对外国金融参与有严格的规定。它进行交易是非法的与 OFAC 特别指定国民和被阻止人员名单上的任何个人或实体。此外，与受禁运的人做生意也是犯罪行为。

这些法案和法律可能没有明确讨论赎金支付，但它们涵盖了勒索软件。违反制裁通常会导致民事处罚，这意味着组织必须支付高额罚款或和解金。如果政府认为某些人的行为构成犯罪或刑事疏忽，他们甚至可能面临牢狱之灾。

至关重要的是，政府指出，即使那些不知道这些行为的人也可能面临法律后果——即使人们不知道自己的行为是非法的，它也可以让人们承担民事责任。如果一家公司在攻击发生后陷入恐慌并支付赎金，它仍然需要向 OFAC、CISA 和其他机构负责。

地方政府有什么要求？

组织必须记住，当地政府对勒索软件也有自己的立场——大多数会处以罚款并承担法律后果。每个州和美国领地都有自己的数据泄露报告规定和处罚措施。

虽然每个州的具体法律有所不同，但每个州要求实体通知利益相关者和执法。当地设施通常不具备处理勒索软件的能力，因此责任由 FBI、CISA 或国土安全部等联邦机构承担。

尽管许多州不鼓励支付赎金——有些州甚至禁止与勒索软件攻击者进行通信——但他们的罚款通常与数据隐私有关。地方执法机构和公共实体没有联邦政府那么大的权力，因此他们通常不会介入人们的私人事务。

他们仍然可以对数据泄露做出迅速反应，并在认为有必要时处以罚款。自从近 50% 的攻击者在开始勒索软件攻击之前窃取数据，组织可能必须遵守所在州的法律。

为什么组织不应该支付赎金？

如果组织支付勒索软件的要求，就会遇到法律问题。由于联邦政府认为付款是为犯罪实体提供资金，因此他们会迅速做出反应。罚款从几千美元到数百万美元不等——通常比最初的赎金更多的是经济损失。

除了罚款之外，执法机构还可以将案件移交给司法部。他们还可以将不合规组织告上法庭，经济和声誉处罚将更加严厉。

此外，如果政府发现一家企业不遗余力地掩盖勒索软件付款，可能会认定其承担刑事责任。刑事处罚要严厉得多，根据具体情况，甚至可能导致入狱。

组织应该做什么？

组织不应支付赎金，而应联系有关当局。 2022 年《加强美国网络安全法案》(SAC) 规定，所有关键的国家基础设施组织必须向网络安全和基础设施安全局 (CISA) 披露勒索软件攻击不到 72 小时内或面临处罚。如果受害者支付赎金，时间就会缩短至 24 小时。

然而，CISA 的出现只是第一步。他们还应该联系国土安全部、OFAC 的制裁和合规评估部门以及 FBI 的网络工作组。这些机构一直在应对勒索软件攻击，并且知道处理这些攻击的最佳方法。

忽略勒索软件需求是最好的方法

当大多数公司意识到攻击者已将他们的数据锁定在恶意付费墙后面时，他们会感到恐慌。尽管如此，满足他们的要求仍然是最糟糕的方法之一。虽然组织一旦进入执法部门可能会收到安全和隐私罚款，但它可以避免因违反 IEEPA、TWEA 或加强美国网络安全法案而支付数十万美元。

L O A D I N G
. . . comments & more!

About Author

Zac Amos@zacamos

Zac is the Features Editor at ReHack, where he covers cybersecurity, AI and more.

Read my stories