Por Danielle M. Gardiner, CPA, CFF e Joseph Lazzarotti, Colaborador: Shiraz Saeed
Uma demanda de ransomware é suficiente para dar uma grande azia a qualquer executivo, pois a decisão de pagar ou não o resgate precisa ser tomada. A Parte 1 desta matéria destacou três fatores a serem considerados como parte da decisão de pagar: o que foi comprometido, quanto o tempo de inatividade custará à empresa e se informações pessoais sensíveis foram afetadas. No entanto, há várias outras questões a serem consideradas antes de se decidir sobre pagar ou não um resgate.
Há outros impactos regulatórios a considerar?
Em alguns casos, a liderança da organização ou suas políticas vigentes podem posicionar-se no sentido de que a organização jamais pagará um resgate, independente das consequências. Essa posição é similar às das agências governamentais, incluindo o FBI (Federal Bureau of Investigation), que não apoiam o pagamento de um resgate em resposta a um ataque de ransomware. Mas quando a possibilidade de pagamento está sobre a mesa, as organizações precisam saber que efetuar o pagamento pode, simplesmente, levá-los a um risco legal.
A base principal deste risco legal é que, de acordo com a Lei de Poderes Econômicos de Emergência Internacional (IEEPA) e a Lei de Negociação com o Inimigo (TWEA), pessoas dos EUA envolvidas
em transações com determinadas organizações listadas podem se sujeitar a penalidades significativas. Especificamente, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA mantém uma Lista de Cidadãos Especialmente Designados e Pessoas Interditadas (Lista SDN), além de outras pessoas impedidas. Uma transação em criptomoeda com uma dessas entidades pode resultar na capacidade da vítima de recuperar o acesso a seus sistemas e dados, mas poderia submeter a organização ao escrutínio do OFAC.
Em sua última rodada de orientação sobre este assunto, em 1º de outubro de 2020, o OFAC emitiu o Comunicado sobre potenciais riscos de sanções para facilitar pagamentos de ransomware (“Comunicado”). O Comunicado deixa claro que as entidades envolvidas na facilitação do pagamento de um resgate podem tê-lo feito em violação às normas do OFAC, sujeitando-as a ações de execução e multas. Esse risco é aumentado pela dificuldade em determinar quem está do outro lado da transação em criptomoeda.
O Comunicado destaca tais preocupações, ao mesmo tempo em que observa que certas ações pré e pós-violação poderiam mitigar a exposição ao escrutínio do OFAC. Implementar “um programa de conformidade baseado em riscos” pré-violação e prontamente elaborar e submeter um “relatório completo de um ataque de ransomware” após um ataque pode, de acordo com o Comunicado, mitigar a aplicação de possíveis penalidades.
A conformidade com o OFAC pode não ser o único obstáculo regulatório a ser superado se o impulso estiver se movendo em favor do pagamento. No verão de 2021, após uma série de ataques maciços de ransomware, incluindo o ataque da Colonial Pipeline referido acima, quatro estados propuseram uma legislação que proibiria pagamentos de resgate. Esses esforços não foram bem-sucedidos até o momento, mas as organizações precisam considerar as limitações regulatórias sobre pagamentos de resgate à medida que as leis de privacidade e segurança cibernética evoluem rapidamente.
O que o seguro cobrirá?
As organizações necessitam conhecer suas apólices cibernéticas a fundo e com antecedência a uma violação assim como necessitam ter em vigor uma estratégia robusta de gerenciamento de riscos cibernéticos para equilibrar de maneira realista sua apólice de seguro e as práticas de mitigação da organização. Saber o que o seguro vai e não vai cobrir ajudará numa tomada de decisão mais rápida no âmbito de um pedido de resgate.
Ao avaliar sua cobertura de seguros cibernéticos a empresa que deve fazer as seguintes perguntas-chave:
- Minha organização tem seguro de risco cibernético?
- Se positivo, o que a apólice de seguro potencialmente cobre em caso de um incidente de ransomware?
O seguro contempla despesas legais, uma investigação forense, a negociação e pagamento de um pedido de resgate, despesas para recuperação de dados, perda de faturamento com interrupções na operação, notificação e monitoramento de crédito, despesas com serviços de call center para indivíduos impactados e a defesa por responsabilidade de processos alegando danos financeiros?
Depois de revisar a cobertura de seguros cibernéticos, entender o impacto potencial do incidente é importante para decidir como proceder. Uma organização deve identificar os limites disponíveis e quaisquer franquias e, em seguida, decidir sobre o melhor uso dos fundos disponíveis. A organização deseja utilizar os limites disponíveis para negociar e pagar o pedido de resgate, recuperar os dados eletrônicos perdidos ou recuperar a perda de faturamento pela interrupção operacional? Tudo isso deve ser explorado antes de se tomar uma decisão.
Há algum outro impacto moral ou de relações públicas a considerar?
A decisão de pagar ou não pagar um resgate tende a ser centrada em regras e números. Mas há outro fator que pesa nas mentes dos líderes organizacionais. É a coisa certa a se fazer? Pagar o resgate está de acordo com os valores da nossa empresa? Como a decisão afetará nossa reputação? Como isso afetará a segurança de terceiros?
Às vezes, uma organização deve considerar como a decisão de pagar agora e “acabar com isso” pode impactar sua empresa e marca a longo prazo. Ceder ao resgate pode abrir uma empresa para ataques futuros, pois eles serão vistos como um alvo fácil. Além disso, pagar um resgate pode enviar a mensagem errada aos clientes e ao público sobre ceder à extorsão. A questão dos impactos morais e de RP deve ser considerada antes de qualquer ataque.
A decisão de pagar ou não é tão complexa, que deve ser tomada sob imensa pressão. As organizações devem avaliar rapidamente o quanto a demanda de ransomware significa em relação ao tempo de recuperação, perda potencial de renda dos negócios, custo para recuperar os dados, custo para notificar e fornecer monitoramento de identidade, orçamento para uma ação coletiva e os custos de quaisquer impactos regulatórios e reputacionais. Qualquer decisão de pagar então se torna uma questão de negociar e determinar quem paga o que. As organizações devem trabalhar rapidamente para obter as respostas a todas estas perguntas, pois o tempo só aumenta o impacto negativo.
Uma importante vantagem para organizações e provedores de seguros é avaliar a exposição e os custos antes de um ataque. Esta análise pré-perda e o planejamento do jogo podem ajudar a se preparar para o inevitável e facilitar o processo de tomada de decisão quando o tempo for essencial.
Danielle M. Gardiner, CPA, CFF, é vice-presidente sênior da Lowers Forensics International. Joseph Lazzarotti é advogado de Jackson Lewis P.C. Agradecimentos especiais a Shiraz Saeed, vice-presidente – líder de produtos de risco cibernético do Arch Insurance Group por suas contribuições.
Aviso: Este artigo deve ser considerado apenas para fins gerais de informação, representando as opiniões pessoais dos autores e colaboradores, e não reflete as opiniões do Arch Insurance Group.
Reimpresso com permissão do NU Property Casualty360 © 2022. Qualquer duplicação sem permissão é proibida. Todos os direitos reservados.