政府可能会因行为不当而施加处罚
勒索软件一直是近年来企业面临的网络威胁最快的网络威胁。
随着当前冠状病毒大流行的开始以及国家向远程工作安排的过渡,这种已经重大的威胁急剧增长网络犯罪分子试图利用与在家工作相吻合的安全漏洞。
2020年10月1日,美国财政部外国资产控制办公室(OFAC)发出的指导警告公司可能会有潜在风险我们根据OFAC的网络相关制裁计划,对某些勒索软件付款的制裁支付给了被指定为恶意网络演员的当事方。
所有行业的公司都应注意OFAC咨询公司,该咨询会明确通知参与或促进勒索软件如果收款人是受批准的一方,即使该实体不知道网络犯罪分子受到美国制裁,付款可能会导致执法行动和民事处罚。
付款风险
OFAC在其网络相关制裁计划和其他制裁计划下指定了许多恶意演员,包括勒索软件的肇事者攻击以及那些促进交易的人。
该机构明确表示,向这些行为者进行勒索软件支付或促进违反勒索软件违反了美国的制裁,进而可能使收款人处以OFAC执行诉讼和货币罚款。
值得注意的是,这些潜在的制裁适用于美国公司和外国企业,这些公司和外国企业利用美国商务进行业务交易。
该咨询进一步警告说,OFAC可能会因严格责任而对勒索软件付款不当施加民事处罚。
这意味着,即使他们不知道自己正在与禁止的个人或实体进行交易,也可能会承担遵守美国管辖权的人。
该咨询还鼓励企业实施基于风险的合规计划,以减轻与制裁有关的违规行为的暴露。
从一般的角度来看,OFAC建议合规计划至少包含以下五个要素;从高级管理人员到支持该计划的承诺;常规和持续的风险评估;识别,禁令,升级,报告和记录可能禁止活动的内部控制;测试和审核以评估内部控制的有效性;和员工培训。
OFAC还鼓励受害者和涉及解决勒索软件攻击的人,如果他们认为要求勒索软件付款的请求可能涉及制裁Nexus。
如果攻击涉及美国金融机构,或者可能会严重破坏公司执行关键金融服务的能力,则受害者还应联系美国财政部网络安全办公室和关键基础设施保护办公室。
要点
网络犯罪分子将继续利用安全弱点来部署破坏性的勒索软件攻击,尤其是在正在进行的冠状病毒大流行期间。
因此,现在比以往任何时候都必须始终如一,积极地将安全性最佳实践应用于其网络,以管理和捍卫这种新兴的威胁。特别是,实体应确保其合规计划涵盖上面讨论的OFAC建议。
尽管通常不建议支付勒索软件需求,但如果实体考虑支付赎金需求,则必须考虑潜在制裁的风险,并在执行任何付款之前对勒索软件收款人进行必要的尽职调查。
