¿Es usted, el cliente, el que paga por la demanda de ransomware?

Los pagos de ransomware pueden tener un impacto mayor de lo que pensaba, y no es solo para las empresas que pagaron

Primero, la respuesta a la pregunta probablemente sea «sí». El debate sobre los pagos de ransomware continúa, lo que por supuesto es positivo; con discusión y diferentes puntos de vista, el resultado debe ser una conclusión informada.

Ahora profundicemos en la cuestión de quién paga realmente el rescate. Imagine por un momento que va a la tienda a comprar algo por $ 100. Dependiendo de dónde se encuentre en el mundo, el impuesto sobre las ventas se puede agregar al finalizar la compra y su recibo mostrará $ 100 por la mercancía y posiblemente $ 10 por el impuesto a las ventas, por un total de $ 110. La empresa que vende el producto debe obtener ganancias y cubrir sus costos, que pueden incluir personal, instalaciones, seguros, transporte y muchos otros costos asociados con el funcionamiento de un negocio.

Cuando la empresa ha sido víctima de un ataque de ransomware y ha decidido pagar a los ciberdelincuentes para recuperar el acceso a los sistemas o evitar que los datos se publiquen o vendan en la web oscura, se convierte en un gasto comercial y se debe vender para vender sus productos. de vuelta o servicios para los clientes. ¿Qué pensaría usted si el recibo requerido para revelar la compañía financiara un delito cibernético: producto $ 100, impuesto sobre las ventas $ 10, donación al ciberdelincuente $ 2.50? Sospecho y espero que cuestione los cargos y plantee objeciones. Sé que lo haría.

Es probable que las empresas respondan: «Está bien, nuestro seguro contra riesgos cibernéticos pagó la mayor parte del rescate». Este puede ser el caso, pero la compañía tuvo que pagar a la compañía de seguros que trabaja para cobrar una prima sobre una probabilidad de riesgo. Si aseguran a 10 empresas y 1 de cada 10 es víctima de ransomware, entonces tal vez un recibo de las 10 empresas debería mostrar la transacción de $ 100, $ 10 de impuestos sobre las ventas y una donación de $ 0,25 a los ciberdelincuentes pagada a través de las aseguradoras de la empresa. El dinero para pagar el rescate proviene en última instancia de usted, el consumidor.

Según un artículo de The Hill, al responder una pregunta de la senadora Mazie Hirono, al responder una pregunta de la senadora Mazie Hirono, Bryan Vorndran, subdirector del departamento cibernético del FBI, dijo que «creemos que prohibir los pagos de ransomware no es la manera de ir.» La base de esto es que la no prohibición de los pagos puede dar lugar a un chantaje adicional en forma de empresas que no transmiten los incidentes a las autoridades. La conclusión de la discusión en el Comité Judicial del Senado parece sugerir un requisito de información más estricto en lugar de una prohibición de pago.

Esto podría entrar en conflicto con los requisitos actuales que prohíben el desembolso de fondos a los delincuentes cibernéticos que figuran en la lista de sanciones de la OFAC. Entonces, dado que algunos grupos de ransomware o las personas detrás de ellos están en la lista de sanciones, ¿sugiere esto que las empresas que pagan el rescate a esos grupos o personas podrían ser chantajeadas dos veces si luego intentan encubrir el pago?

Hay muchas preguntas, pero una cosa es cierta: el debate sobre si pagar o no las reclamaciones de ransomware está lejos de terminar. Y nosotros, los consumidores, es probable que veamos costos de productos y servicios más altos para que las empresas puedan pagar por los extorsionadores detrás del ransomware, ya sea directamente o a través de un seguro.

Los dejo con las palabras de Margaret Thatcher el 14 de octubre de 1988: «Entrégate al terrorista y engendrarás más terrorismo».