Deveria haver uma proibição total dos pagamentos de ransomware?

O debate sobre o governo dos Estados Unidos proibindo as empresas de fazer pagamentos de ransomware está de volta às manchetes. Recentemente, a Força-Tarefa de Ransomware do Instituto de Segurança e Tecnologia divulgou um memorando sobre o assunto. O grupo de trabalho afirmou que proibir pagamentos de resgate em casos de ransomware nos EUA neste momento agravará os danos às vítimas, à sociedade e à economia. Além disso, as pequenas empresas não conseguem resistir a uma longa interrupção dos negócios e podem fechar as portas após um ataque de ransomware.

"No momento, os dados limitados disponíveis indicam que a maioria das organizações em todo o mundo ainda está despreparada para se defender ou se recuperar de um ataque de ransomware. Essa lacuna de preparação continua sendo particularmente problemática em setores críticos com recursos limitados que atualmente estão sendo fortemente afetados por ataques de ransomware, como saúde, educação e governo", escreveu a força-tarefa no memorando.

Força-tarefa define marcos a serem alcançados antes da possível proibição de pagamentos

O memorando fazia alusão a uma possível proibição no futuro e afirmava que a abordagem mais eficaz para reduzir os pagamentos é uma abordagem plurianual. Como parte do plano, a força-tarefa afirmou que os governos e a comunidade técnica precisam ajudar as empresas vítimas de ataques com opções de recuperação além do pagamento do ransomware.

Além disso, os governos e a comunidade técnica precisam fortalecer o suporte às vítimas para dar às organizações afetadas pelos ataques opções alternativas de recuperação além do pagamento do ransomware. Para aumentar a capacidade de uma organização de se recuperar de um ataque sem pagar ao ransomware, a força-tarefa propôs as seguintes quatro linhas de esforços, cada uma com marcos específicos:

  • Linha de esforço 1: preparação do ecossistema
  • Linha de esforço 2: dissuasão
  • Linha de esforço 3: interrupção
  • Linha de esforço 4: resposta

Regulamentações atuais relacionadas ao pagamento por ransomware

Embora a força-tarefa se tenha recusado a proibir a realização de pagamentos por ransomware neste momento, existem atualmente outros regulamentos e leis que afetam as empresas na sua decisão de realizar um pagamento por ransomware. Em 2020, o Departamento do Tesouro acrescentou possíveis sanções para seguradoras cibernéticas, análise forense digital e resposta a incidentes.

Além disso, a Lei de Reporte de Incidentes Cibernéticos para Infraestrutura crítica de 2022 (CIRCIA), inspirada nos ataques SolarWinds, Microsoft Exchange Server e Colonial Pipeline, estabelece requisitos de relatórios para solicitações de pagamento por ransomware. Os Requisitos de Relatório da Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA), conforme diretrizes da CIRCIA, estabelecem que os incidentes cibernéticos devem ser relatados em até 72 horas e os pagamentos de resgate devem ser relatados em até 24 horas.

A proibição é uma boa ideia ou não?

Enquanto o debate sobre uma proibição federal continua enquanto os EUA trabalham para alcançar os marcos, as organizações continuam a tomar suas próprias decisões para pagar ou não o ransomware. A posição oficial da IBM é nunca pagar aos invasores de ransomware.

Efeitos positivos de uma proibição federal de pagamentos por ransomware

    • Uma proibição poderia resultar em menos atividades criminosas. Como os cibercriminosos cometem ataques de ransomware para ganhar dinheiro, a proibição de ransomware pago pode levar a uma redução nos ataques. O Relatório de Inteligência sobre Forças de Ameaça da IBM de 2024 encontrou uma queda de 11,5% no ransomware, provavelmente devido ao fato de muitas organizações não pagarem mais por ransomware.
    • As empresas nem sempre recuperam seus dados mesmo depois de cumprirem as exigências dos cibercriminosos. Quando uma empresa faz um pagamento de ransomware, ela confia que os criminosos devolverão seus dados. No entanto, o Relatório de Tendências de Ransomware da Veeam constatou que 21% das empresas não recuperaram seus dados após o pagamento do resgate.

    Efeitos negativos da proibição federal de pagamentos de resgate

    No entanto, a força-tarefa e outros especialistas acham que há muitas razões para não implementar uma proibição neste momento:

    • As organizações podem fechar negócios. Se uma organização não conseguir recuperar seus dados e for proibida de pagar ao ransomware, ela não poderá fazer negócios. Como resultado, a empresa, especialmente se for menor, pode encerrar as operações.
    • As vítimas não podem relatar ataques e pagamentos de ransomware. Se as empresas enfrentarem penalidades pelo pagamento, é provável que não relatem seus pagamentos. Quando os pagamentos não são relatados, o governo não terá mais registros precisos.
    • Há potencial para chantagem após a realização do pagamento do ransomware. Realizar pagamentos ilegais pode produzir consequências não intencionais, como chantagem. Após o ataque, os criminosos podem chantagear a organização por mais dinheiro para evitar publicidade em torno do ataque de ransomware e do pagamento.

    Avanço rumo a uma organização preparada para ransomware

    Com a força-tarefa fornecendo um roteiro detalhado, o objetivo é que as organizações melhorem sua capacidade de se defender e se recuperar de um ataque. Assim que as empresas e as agências governamentais avançarem, a força-tarefa poderá rever a viabilidade da proibição. Quando as empresas podem recuperar seus dados de forma relativamente fácil e voltar a ficar on-line rapidamente, a questão de pagar pagamentos de ransomware se torna um problema.