稅務減免變相鼓勵美企業支付贖金?

為何將贖金列為扣除額反而會傳遞錯誤訊息給駭客和受害者?

美國白宮正面臨日益龐大的壓力,必須拿出具體對策來因應橫掃美國及全球的勒索病毒 Ransomware (勒索軟體)疫情。就在我們等待的同時,媒體卻報導了一則新聞指出,政府有可能不小心變相鼓勵遭到勒索病毒攻擊的企業支付贖金。

根據美聯社 (Associated Press) 一篇文章指出,美國國稅局 (IRS) 打算讓企業在年度報稅時將他們所支付的勒索病毒贖金扣除,而事情似乎不應該這樣發展。

日益崛起的威脅


大家都知道,今日的駭客集團不僅動機強大、資源充足,而且數量不斷成長,讓企業機構面臨了無比龐大的壓力。根據趨勢科技研究發現,2020 年勒索病毒家族數量較前一年成長 34%,而這還未計算過去幾個月冒出來的大量相關集團。

駭客所使用的工具和技巧日益精密,包括:採取類似多階段

「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱 APT攻擊) 手法、利用合法工具在企業內橫向移動並竊取資料、運用四重勒索技巧。駭客總能找到企業網路資安防護上的漏洞來滲透企業,所以許多企業正面臨的問題是如何找到一套適當的偵測及回應工具,好讓他們在損害造成之前,預先發掘駭客入侵的跡象,並盡速採取對應行動。

拜登政府開始針對勒索病毒威脅採取更進一步的四個行動


美國東部輸油管營運商  Colonial Pipeline 和巴西跨國食品加工集團 JBS 遭到駭客攻擊的事件,讓許多高層決策者真正意識到眾多關鍵供應鏈所面臨的風險。所幸,拜登政府已經開始針對勒索病毒威脅採取更進一步的行動,包括:

  1. 🔴由國安會 (NSC) 網路資安主任發布一份信函呼籲企業更嚴肅看待這項威脅。
  2. 🔴由司法部 (DOJ) 成立一個勒索病毒與數位勒索工作小組來集中協調調查工作
  3. 🔴升高層級將勒索病毒當成國家安全威脅,授權國家情報單位針對外國網路犯罪進行調查。
  4. 🔴條列一張網路攻擊應避開的 16 項關鍵基礎設施清單,交給俄羅斯總統普廷。


不過,我們還未看到這些政策有任何具體的成果。趨勢科技與美國聯邦調查局 (FBI) 的立場一至,我們呼籲受害機構切勿支付贖金,因為我們目前的情況很多時候就是因為企業支付贖金所造成,犯罪集團就是看到了如此唾手可得的發財機會,才會紛紛湧入。他們深知,只要挑選那些年營收上億美元的私人企業,受害者通常都會乖乖付錢。而且他們知道自己所在的司法管轄區會容許這類攻擊,只要他們的攻擊對象是「敵對」國家就沒問題。

所以結論是,我們必須削弱企業支付贖金的動機。網路保險產業已經開始採取行動,法國跨國保險集團 AXA 最近據稱已經停止對法國客戶支付勒索贖金理賠。此外,我們希望保險業者應更明確規範投保人現有的資安措施,如此將有助於全面提升整體的資安情勢。

就目前而言,拿掉稅務減免或許是政府可採取的一項快速行動,因為這類減免只會變相鼓勵企業支付贖金,反而讓勒索病毒威脅更難根除。但光這樣還不夠,企業還需要提升其威脅偵測及回應能力,但這至少是個開始。

原文出處:Are Tax Breaks Encouraging Ransom Payments 作者:Jon Clay