Embora as organizações possam pensar que a melhor estratégia durante um ataque de ransomware é atender às demandas do invasor, isso pode colocá-las em maus lençóis legais. Assim que o governo federal se envolver, as repercussões financeiras serão mais significativas do que o próprio resgate. Veja o que as empresas devem fazer e evitar nessa situação para proteger seus ativos.
A maioria das organizações paga o resgate?
Os ataques de ransomware impactam fortemente todos os setores. Infelizmente, eles estão ficando mais graves. Os incidentes
Na verdade,
É ilegal pagar o resgate?
É tecnicamente ilegal pagar resgate durante um ataque de ransomware. Afinal de contas, é quase impossível rastrear onde está o agressor ou descobrir para quem trabalha – e o governo desaprova entidades dos EUA que financiem grupos terroristas ou países sob embargo.
Por que as organizações pagam o resgate mesmo sendo ilegal? Embora muitos possam não saber sobre sua legalidade, alguns seguem em frente porque acreditam que é a melhor escolha. Após uma análise de custos, eles percebem que o pagamento das multas pode ser mais barato.
Contendo um ataque de malware
Considerações legais para ataques de ransomware
Muitas determinações locais e federais envolvem ataques cibernéticos e ransomware. As pessoas que vivem ou fazem negócios nos Estados Unidos devem cumprir estes requisitos legais.
Aqui estão as principais leis e considerações para organizações:
- Informar as partes interessadas: As organizações normalmente devem informar as suas partes interessadas sobre um ataque de ransomware. Dependendo das leis locais, eles poderão ter que fazer declarações públicas ou notificar todos os clientes.
- Pagamento de resgates: Os governos federal e locais têm regras rígidas contra isso porque é uma questão de segurança – eles vêem isso como financiamento ou apoio.
- Notificando as autoridades: A Agência de Segurança Cibernética e de Infraestrutura (CISA) declara
relatórios oportunos são obrigatórios para todos os incidentes de ransomware. As vítimas devem informar as agências governamentais relevantes dos EUA. - Informar os clientes: As organizações devem notificar os clientes se um ataque de ransomware afetar a segurança dos dados. Afinal, a privacidade deles corre risco se os invasores exporem suas informações pessoais ou financeiras.
Embora as exigências exatas de notificação variem de acordo com o estado e o setor, todas elas exigem que as organizações informem as agências de aplicação da lei. Mesmo que as pessoas tenham a situação sob controlo, ainda assim devem divulgá-la às autoridades competentes.
Quais são os requisitos do governo federal?
Embora o governo federal não tenha leis explícitas e abrangentes sobre ransomware, ele considera o pagamento de resgate um tipo de transação. Devido a esse detalhe técnico, é ilegal interagir com o invasor – isso pode resultar em penalidades severas. O Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA supervisiona a maioria desses incidentes.
A Lei dos Poderes Económicos de Emergência Internacional (IEEPA) e a Lei do Comércio com o Inimigo (TWEA) têm regras rigorosas contra o envolvimento financeiro estrangeiro. Isto
Esses atos e leis podem não discutir explicitamente pagamentos de resgate, mas abrangem ransomware. As violações de sanções normalmente resultam em penalidades civis, o que significa que as organizações devem pagar pesadas multas ou acordos. Algumas pessoas podem até enfrentar pena de prisão se o governo acreditar que as suas ações são criminosas ou criminosamente negligentes.
Crucialmente, o governo observa que mesmo aqueles que não têm conhecimento dos actos podem enfrentar repercussões legais – pode responsabilizar civilmente as pessoas mesmo que não saibam que as suas acções eram ilegais. Se uma empresa entrar em pânico e pagar o resgate assim que ocorrer um ataque, ela ainda terá que responder perante a OFAC, CISA e outras agências.
Quais são os requisitos dos governos locais?
As organizações devem lembrar que o governo local também tem uma posição em relação ao ransomware – a maioria impõe multas e repercussões legais. Cada estado e território dos EUA tem seus próprios mandatos e penalidades para relatórios de violação de dados.
Embora as leis específicas de cada estado sejam diferentes, cada uma
Embora muitos estados desencorajem pagamentos de resgate – alguns até proibiram a comunicação com invasores de ransomware – suas multas geralmente estão relacionadas à privacidade de dados. As autoridades locais e as entidades públicas não têm tanto poder quanto o governo federal, por isso normalmente não se envolvem nos assuntos privados das pessoas.
Eles ainda podem reagir rapidamente a violações de dados e aplicarão multas se sentirem necessidade. Desde
Por que as organizações não deveriam pagar o resgate?
As organizações terão problemas legais se pagarem uma demanda de ransomware. Como o governo federal considera os pagamentos um financiamento para entidades criminosas, reagirá rapidamente. As multas variam de alguns milhares de dólares a milhões – muitas vezes um impacto financeiro maior do que o resgate inicial.
Além das multas, as agências de aplicação da lei poderiam entregar o caso ao Departamento de Justiça. Eles também podem levar a organização inadimplente a tribunal, onde as penalidades financeiras e de reputação serão muito mais severas.
Além disso, se o governo descobrir que uma empresa se esforçou para encobrir um pagamento de ransomware, poderá considerá-la criminalmente responsável. As penalidades criminais são muito mais severas e – dependendo das especificidades – podem até resultar em pena de prisão.
O que as organizações deveriam fazer em vez disso?
Em vez de pagar o resgate, as organizações devem contactar as autoridades competentes. A Lei de Fortalecimento da Cibersegurança Americana (SAC) de 2022 declara que todas as organizações de infraestrutura nacional crítica devem divulgar ataques de ransomware à Agência de Segurança Cibernética e de Infraestrutura (CISA).
Contudo, a presença da CISA é apenas o primeiro passo. Eles também devem entrar em contato com o Departamento de Segurança Interna, o departamento de sanções e avaliação de conformidade do OFAC e a força-tarefa cibernética do FBI. Essas agências lidam com ataques de ransomware o tempo todo e sabem a melhor maneira de lidar com eles.
Ignorar as demandas de ransomware é a melhor abordagem
A maioria das empresas entra em pânico quando percebe que um invasor bloqueou seus dados atrás de um acesso pago malicioso. Ainda assim, satisfazer as suas exigências é uma das piores abordagens. Embora uma organização possa receber multas de segurança e privacidade quando for para a aplicação da lei, ela evita ter que pagar centenas de milhares de dólares por violar a IEEPA, a TWEA ou a Lei de Fortalecimento da Segurança Cibernética Americana.
