Ransomware: Você deve pagar o resgate? – Parte 2

Por Danielle M. Gardiner, CPA, CFF e Joseph Lazzarotti, Colaborador: Shiraz Saeed

Uma demanda de ransomware é suficiente para dar uma grande azia a qualquer executivo, pois a decisão de pagar ou não o resgate precisa ser tomada. A Parte 1 desta matéria destacou três fatores a serem considerados como parte da decisão de pagar: o que foi comprometido, quanto o tempo de inatividade custará à empresa e se informações pessoais sensíveis foram afetadas. No entanto, há várias outras questões a serem consideradas antes de se decidir sobre pagar ou não um resgate.

Há outros impactos regulatórios a considerar?

Em alguns casos, a liderança da organização ou suas políticas vigentes podem posicionar-se no sentido de que a organização jamais pagará um resgate, independente das consequências. Essa posição é similar às das agências governamentais, incluindo o FBI (Federal Bureau of Investigation), que não apoiam o pagamento de um resgate em resposta a um ataque de ransomware. Mas quando a possibilidade de pagamento está sobre a mesa, as organizações precisam saber que efetuar o pagamento pode, simplesmente, levá-los a um risco legal.

A base principal deste risco legal é que, de acordo com a Lei de Poderes Econômicos de Emergência Internacional (IEEPA) e a Lei de Negociação com o Inimigo (TWEA), pessoas dos EUA envolvidas
em transações com determinadas organizações listadas podem se sujeitar a penalidades significativas. Especificamente, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA mantém uma Lista de Cidadãos Especialmente Designados e Pessoas Interditadas (Lista SDN), além de outras pessoas impedidas. Uma transação em criptomoeda com uma dessas entidades pode resultar na capacidade da vítima de recuperar o acesso a seus sistemas e dados, mas poderia submeter a organização ao escrutínio do OFAC.

Em sua última rodada de orientação sobre este assunto, em 1º de outubro de 2020, o OFAC emitiu o Comunicado sobre potenciais riscos de sanções para facilitar pagamentos de ransomware (“Comunicado”). O Comunicado deixa claro que as entidades envolvidas na facilitação do pagamento de um resgate podem tê-lo feito em violação às normas do OFAC, sujeitando-as a ações de execução e multas. Esse risco é aumentado pela dificuldade em determinar quem está do outro lado da transação em criptomoeda.

O Comunicado destaca tais preocupações, ao mesmo tempo em que observa que certas ações pré e pós-violação poderiam mitigar a exposição ao escrutínio do OFAC. Implementar “um programa de conformidade baseado em riscos” pré-violação e prontamente elaborar e submeter um “relatório completo de um ataque de ransomware” após um ataque pode, de acordo com o Comunicado, mitigar a aplicação de possíveis penalidades.

A conformidade com o OFAC pode não ser o único obstáculo regulatório a ser superado se o impulso estiver se movendo em favor do pagamento. No verão de 2021, após uma série de ataques maciços de ransomware, incluindo o ataque da Colonial Pipeline referido acima, quatro estados propuseram uma legislação que proibiria pagamentos de resgate. Esses esforços não foram bem-sucedidos até o momento, mas as organizações precisam considerar as limitações regulatórias sobre pagamentos de resgate à medida que as leis de privacidade e segurança cibernética evoluem rapidamente.

O que o seguro cobrirá?

As organizações necessitam conhecer suas apólices cibernéticas a fundo e com antecedência a uma violação assim como necessitam ter em vigor uma estratégia robusta de gerenciamento de riscos cibernéticos para equilibrar de maneira realista sua apólice de seguro e as práticas de mitigação da organização. Saber o que o seguro vai e não vai cobrir ajudará numa tomada de decisão mais rápida no âmbito de um pedido de resgate.

Ao avaliar sua cobertura de seguros cibernéticos a empresa que deve fazer as seguintes perguntas-chave:

  1. Minha organização tem seguro de risco cibernético?
  2. Se positivo, o que a apólice de seguro potencialmente cobre em caso de um incidente de ransomware?

O seguro contempla despesas legais, uma investigação forense, a negociação e pagamento de um pedido de resgate, despesas para recuperação de dados, perda de faturamento com interrupções na operação, notificação e monitoramento de crédito, despesas com serviços de call center para indivíduos impactados e a defesa por responsabilidade de processos alegando danos financeiros?

Depois de revisar a cobertura de seguros cibernéticos, entender o impacto potencial do incidente é importante para decidir como proceder. Uma organização deve identificar os limites disponíveis e quaisquer franquias e, em seguida, decidir sobre o melhor uso dos fundos disponíveis. A organização deseja utilizar os limites disponíveis para negociar e pagar o pedido de resgate, recuperar os dados eletrônicos perdidos ou recuperar a perda de faturamento pela interrupção operacional? Tudo isso deve ser explorado antes de se tomar uma decisão.

Há algum outro impacto moral ou de relações públicas a considerar?

A decisão de pagar ou não pagar um resgate tende a ser centrada em regras e números. Mas há outro fator que pesa nas mentes dos líderes organizacionais. É a coisa certa a se fazer? Pagar o resgate está de acordo com os valores da nossa empresa? Como a decisão afetará nossa reputação? Como isso afetará a segurança de terceiros?

Às vezes, uma organização deve considerar como a decisão de pagar agora e “acabar com isso” pode impactar sua empresa e marca a longo prazo. Ceder ao resgate pode abrir uma empresa para ataques futuros, pois eles serão vistos como um alvo fácil. Além disso, pagar um resgate pode enviar a mensagem errada aos clientes e ao público sobre ceder à extorsão. A questão dos impactos morais e de RP deve ser considerada antes de qualquer ataque.

A decisão de pagar ou não é tão complexa, que deve ser tomada sob imensa pressão. As organizações devem avaliar rapidamente o quanto a demanda de ransomware significa em relação ao tempo de recuperação, perda potencial de renda dos negócios, custo para recuperar os dados, custo para notificar e fornecer monitoramento de identidade, orçamento para uma ação coletiva e os custos de quaisquer impactos regulatórios e reputacionais. Qualquer decisão de pagar então se torna uma questão de negociar e determinar quem paga o que. As organizações devem trabalhar rapidamente para obter as respostas a todas estas perguntas, pois o tempo só aumenta o impacto negativo.

Uma importante vantagem para organizações e provedores de seguros é avaliar a exposição e os custos antes de um ataque. Esta análise pré-perda e o planejamento do jogo podem ajudar a se preparar para o inevitável e facilitar o processo de tomada de decisão quando o tempo for essencial.

 

Danielle M. Gardiner, CPA, CFF, é vice-presidente sênior da Lowers Forensics International. Joseph Lazzarotti é advogado de Jackson Lewis P.C. Agradecimentos especiais a Shiraz Saeed, vice-presidente – líder de produtos de risco cibernético do Arch Insurance Group por suas contribuições.

Aviso: Este artigo deve ser considerado apenas para fins gerais de informação, representando as opiniões pessoais dos autores e colaboradores, e não reflete as opiniões do Arch Insurance Group.

Reimpresso com permissão do NU Property Casualty360 © 2022. Qualquer duplicação sem permissão é proibida. Todos os direitos reservados.

Share the Post:

Related Posts

Subrogação em Ataques Cibernéticos

Por Danielle M. Gardiner, CPA, CFF, e Joseph Lazzarotti Contribuição: Shiraz Saeed Data de publicação original: novembro/dezembro de 2021, Revista Claims Magazine Quando se trata de riscos de cibersegurança, o

Read More

InsurTech em Sinistros

Por David Gardiner e Grant Mizel Data Original de publicação: maio/junho de 2021, Revista Claims Embora as seguradoras, corretores, agentes administrativos e todos os outros que desempenham um papel em

Read More

Subscribe Today

Get our latest posts delivered to your inbox: