Um Strafen für Ransomware-Auszahlungen zu vermeiden, drängen Incident-Response-Profis auf Sorgfaltspflicht

Cyber Security News

Das Finanzministerium in Washington, D.C. Das Office of Foreign Assets Control (OFAC) ist eine Finanzaufklärungs- und Durchsetzungsbehörde, die über das US-Finanzministerium betrieben wird. (AgnosticPreachersKid, CC BY-SA 3.0 https://creativecommons.org/licenses/by-sa/3.0, via Wikimedia Commons)

Zur Zahlung einer hohen Ransomware-Forderung gezwungen zu werden, ist schlimm genug. Noch schlimmer ist es, eine hohe zivilrechtliche Strafe zu zahlen, weil man mit einer staatlich sanktionierten cyberkriminellen Gruppe Geschäfte gemacht hat.

Um solche Bußgelder zu vermeiden, plädieren Experten für Incident Response (IR) für Verbesserungen der Ransomware-Reaktionsprotokolle, einschließlich zusätzlicher Aufsicht und nachweislicher Sorgfaltspflicht, während sie gleichzeitig die Threat Intelligence Community dazu auffordern, eine verantwortungsvolle Attribution der Bedrohungsakteure zu praktizieren.

Eine Reihe von Fragen, die auf der Incident Response Forum Masterclass-Veranstaltung am Donnerstag gestellt wurden, zeigte, dass die Incident-Response-Branche und ihre Kunden sechs Monate nach der Veröffentlichung einer Empfehlung des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums vom 1. Oktober, in der vor Unternehmen gewarnt wird, die Ransomware-Zahlungen an Gruppen leisten, die auf der Liste der “Specially Designated Nationals and Blocked Persons” (SDN-Liste) stehen oder einen “Sanktions-Nexus” haben, immer noch versuchen, ihren Halt zu finden.

John Reed Stark, Leiter des Forums und Präsident von John Reed Stark Consulting, LLC, nannte die OFAC-Anleitung “vielleicht eine der herausforderndsten strengen Haftungsvorschriften, die in unseren Staaten existieren [that] macht allen Beteiligten – den Versicherungsgesellschaften, den Beratern, den Anwälten – eine Heidenangst. Niemand ist davor gefeit, sich darüber Sorgen zu machen.”

Podiumsteilnehmer Travis LeBlanc, Partner und stellvertretender Vorsitzender der Cyber-/Daten-/Privacy-Praxis von Cooley LLP, sagte, dass seine Kanzlei als Folge der OFAC-Anleitung bestimmte Änderungen in der Aufsicht vorgenommen hat, indem sie jetzt ihr Team für Exportkontrollen und Wirtschaftssanktionen hinzuzieht, um sich mit dem Cybersecurity-Rechtsteam zu beraten, wenn Kunden mit einem Ransomware-Zahlungsdilemma konfrontiert sind.

“Das hätten wir vorher nicht getan”, sagte LeBlanc. “Davor [OFAC] Anleitung wäre das alles von den Cyber-Leuten ausgearbeitet worden. Aber jetzt wollen wir sicherstellen, dass wir diese zusätzliche Ebene der Beratung haben, weil unser Cyber-Team kein Experte für Exportkontrolle und Sanktionen ist, aber wir haben ein Team, das es ist.”

“Wir ziehen auch unsere Sanktionsanwälte hinzu”, fügte ein anderer Diskussionsteilnehmer hinzu, Chris Cwalina, Partner und globaler Co-Leiter für Datenschutz, Privatsphäre und Cybersicherheit bei Norton Rose Fulbright. In der Tat “haben wir festgestellt, dass andere Parteien, einschließlich der Versicherungsgesellschaften und der Banken, in Bezug auf ihre eigenen Sanktionen viel genauer hinschauen oder sich engagieren. [OFAC] Compliance-Checks.”

Neben der Aufsicht ist ein weiterer wichtiger Schritt, dass Unternehmen und ihre Incident-Response-Anbieter nachweisen, dass sie eine Due-Diligence-Prüfung durchgeführt haben, bevor sie sich für die Zahlung eines Lösegelds entscheiden.

“Das ist alles, was Sie tun können, ist … sicherzustellen, dass es keine roten Fahnen gibt, und dokumentieren Sie Ihre Due Diligence”, sagte Co-Panelist Edward McNicholas, ein Co-Leiter von Ropes & Gray’s Datenschutz und Cybersicherheit Praxis. “Und wenn Sie am Ende eine Zahlung an eine sanktionierte Partei leisten, können Sie sagen: ‘Hey, hier ist unsere Sorgfalt, und ich glaube nicht, dass sie jemals Vollstreckungsmaßnahmen gegen ein Unternehmen ergreifen werden, das tatsächlich ein gewisses Maß an Sorgfalt anwendet. That would be crazy.”

In einer separaten Sitzung betonte auch Kaveh Miremadi, Section Chief der Enforcement Division der OFAC, wie wichtig es ist, seiner Behörde, die mehr als 30 verschiedene Sanktionsprogramme verwaltet, den Nachweis der Sorgfaltspflicht zu erbringen.

Wann immer eine Ransomware-Zahlung erfolgt, sollten Unternehmen und ihre Incident-Response-Firmen als mildernden Faktor “in der Lage sein, ihren Entscheidungsprozess und die unternommenen Compliance-Schritte zu dokumentieren, quasi in Echtzeit”, so Miremadi, “so dass, falls und wenn es eine Situation am Back-End gibt, in der die [SND list] Verbindung bestätigt wird und mein Büro untersucht, können Sie mir zeigen, dass die Entscheidungen, die Sie zu diesem Zeitpunkt getroffen haben, vernünftig waren.”

Wenn es andererseits den Anschein hat, dass Ihr Unternehmen “vorherrschende rote Flaggen wie öffentliches Geschwätz, Online-Blogs” oder Zuschreibungen ignoriert hat, als es eine Ransomware-Gruppe bezahlte, dann “kommen Sie einem erschwerenden Faktor furchtbar nahe”, weil Sie “in vorsätzlicher Missachtung dieser Warnzeichen gehandelt haben. Eine Dokumentation des Entscheidungsprozesses wäre in dieser Hinsicht also wichtig.”

Dennoch schlug Cwalina vor, dass Ransomware-Opfer, Incident-Response-Firmen und Rechtsberater sich alle auf immer sichererem Boden befinden würden, wenn Threat-Intelligence-Firmen Schritte unternehmen würden, um eine konservativere, verantwortungsvollere Bedrohungszuordnung zu praktizieren.

Besonders in Fällen, in denen die Bezahlung eines dieser Bedrohungsakteure zivilrechtliche Strafen nach sich ziehen kann, ist es von entscheidender Bedeutung, die richtige Anleitung für die Zuordnung von Angriffen zu haben, sagte Cwalina, wobei er anmerkte, dass er in seinem eigenen Namen und nicht im Namen seiner Firma sprach.

“Ich halte sehr, sehr viel von Bedrohungsdaten… Sie sind von unschätzbarem Wert, wenn es darum geht, auf Vorfälle zu reagieren und die Taktiken, Techniken und Verfahren der Bedrohungsakteure zu verstehen und ihre Motive zu kennen”, sagte Cwalina. “Allerdings gibt es keinen Standard in Bezug auf die Attribution. Ich plädiere nicht für einen Standard – ich denke, das wäre zu schwierig – aber was ich andeute, ist, dass es zweifellos einen Unterschied zwischen den Unternehmen gibt, wie weit sie in Bezug auf die Attribution gehen werden. Und manche Firmen sind da vorsichtiger als andere.”

Folglich müssen “Threat-Intelligence-Firmen darüber nachdenken, wenn sie rausgehen und [attribution] Aussagen machen und wie sie nachgelagerte Effekte auf Menschen haben können, die unter diesen Ransomware-Angriffen leiden.”

Und es ist nicht nur eine Frage der OFAC-Zuständigkeit – die Zuschreibung oder falsche Zuschreibung kann sich auch auf Ihr Ansehen bei Versicherungsagenturen auswirken. “Sie können von einem Ausschluss für Kriegshandlungen in Ihrer Versicherung betroffen sein, wenn jemand da draußen behauptet, Sie seien von einem Terroristen angegriffen worden”, so Stark.

Das OFAC ist nicht für strafrechtliche Fälle zuständig – solche Angelegenheiten werden separat vom DOJ behandelt – aber zivilrechtliche Fälle sind tatsächlich leichter zu verfolgen, weil die Anwälte der Regierung nicht den mens rea beweisen müssen. Es gelten strenge Haftungsregeln, was bedeutet, dass man einfach beweisen muss, dass ein Verstoß stattgefunden hat. Die Behauptung, man habe nicht gewusst, dass der Ransomware-Akteur, den man bezahlt hat, auf der Sperrliste stand, ist keine Verteidigung – nicht ohne den Nachweis einer erheblichen Sorgfaltspflicht.

Dennoch versuchte Miremadi, die Anwesenden zu beruhigen, indem er darauf hinwies, dass sich in vielerlei Hinsicht nichts geändert hat. Das Verbot der OFAC, mit illegalen ausländischen Unternehmen Geschäfte zu machen, sei eine “alte Nachricht”, sagte er. Was jedoch neu ist, ist “die Industrie, die rund um den Bereich Incident Response mit Ransomware entstanden ist.”

“Und so wurde das Advisory geschrieben, um diese neue Industrie, oder diese neuartige Industrie, zu informieren über [OFAC’s] bereits bestehende Verpflichtungen zur Einhaltung von Sanktionen zu informieren.”

In Bezug auf Miremadi sagte Jennifer Archie, eine Partnerin im Washington D.C.-Büro von Latham & Watkins, dass, auch wenn diese Vorschriften alte Nachrichten sind, es “eine Reihe neuer Herausforderungen gibt, die spezifisch für das Umfeld sind, in dem die Cyberkriminellen anonym kommunizieren, sie Zahlungen über Kryptowährung fordern und sie kriminelle Erpressung anwenden, um dies zu tun.”

Sie erkundigte sich auch, ob sich die Prioritäten der OFAC bei der Durchsetzung weniger auf die viktimisierten Unternehmen selbst und mehr auf die professionellen Incident-Response-Dienste konzentrieren, die versuchen, ihnen zu helfen.

Miremadi sagte, dass “jeder offensichtliche Verstoß von Fall zu Fall behandelt wird”, wobei die Fakten und Umstände berücksichtigt werden. “Aber ich würde den Ratschlag nicht so lesen, dass … es für ein Unternehmen, das geschädigt wurde, unmöglich ist, ihn zu verletzen. In keiner Weise sagt das Advisory das… Und so sollte die verschuldensunabhängige Haftung von Unternehmen im Zusammenhang mit ihren Sanktions-Compliance-Programmen in Betracht gezogen werden.”

Es gibt zusätzliche mildernde Faktoren, die in diesen Fällen in Betracht gezogen werden sollten, sagte Miremadi: rechtzeitige und vollständige Benachrichtigung der Strafverfolgungsbehörden und Zusammenarbeit mit ihnen.

“Das ist etwas, das die Leute ernst nehmen und als Teil ihres Sanktions-Compliance-Programms implementieren sollten, wenn sie mit dieser Art von Problemen konfrontiert werden”, sagte Miremadi. “Rufen Sie die Strafverfolgungsbehörden nicht am Vorabend Ihrer Zahlung an die Kriminellen an”, oder danach, was das betrifft. “Geben Sie ihnen genug Zeit, um tatsächlich zu reagieren und über die Krise nachzudenken, mit der Sie konfrontiert sind.”

“Und dann ist die Kooperation … ein weiterer wesentlich mildernder Faktor, über den die Leute nachdenken sollten”, fuhr Miremade fort. “Wir sind bereit, den Leuten einen Aufschub an dieser Front zu gewähren, wenn es um Kooperation geht. Ich überlasse es unseren Kollegen von den Strafverfolgungsbehörden, Sie anzuleiten und zu sagen, was sie von den Leuten wollen, die an dem Vorfall beteiligt sind.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com