Internal Revenue Sservice (IRS), czyli urząd podatkowy w USA, nie ma obecnie formalnych wskazówek dotyczących płatności w przypadku ataków ransomware. Wielu ekspertów podatkowych, z którym rozmawiała agencja Associated Press, twierdzi jednak, że odliczenia za płatności ransomware jako koszt prowadzenia działalności są zwykle dozwolone, zgodnie z prawem i ustalonymi wytycznymi. Niektórzy zaczęli więc określać ransomware "srebrną podszewką" dla ofiar ataków.

Całkiem niedawno Stany Zjednoczone przyznały ransomware status "terroryzmu". Departament Sprawiedliwości będzie wymagał, aby wszystkie przypadki oprogramowania ransomware były koordynowane centralnie przez Waszyngton. Jednocześnie FBI i inne organy ścigania stanowczo doradzają, aby nie płacić okupów, bo to będzie tylko zachęcać cyberprzestępców do przeprowadzania dalszych ataków.

Zobacz również:

• Nowy model ransomware - dostawca usług w chmurze działa jako przykrywka dla złych aktorów
• FBI ostrzega - masowy atak phishingowy w USA

Z drugiej strony, jeśli dana organizacja nie chce płacić okupu w sytuacji, gdy zostanie zaatakowana, może to mieć dla niej katastrofalne skutki zarówno pod względem finansowym, jak i wizerunkowym. Dodatkowo w wielu przypadkach cierpią na tym partnerzy, a nawet konkretnie sektory rynkowe, jeśli atak dotyczy np. wielkiego dostawcy, jak było niedawno w przypadku przetwórcy mięsnego JBS SA.

Lista ofiar ransomware obejmuje również szpitale, okręgi szkolne, miasta i miasteczka, a nawet firmę zajmującą się biuletynem informacyjnym dla biur Kongresu USA.

Doradcy podatkowi tłumaczą, że firmy od dawna mogą odliczać od podatku straty z bardziej tradycyjnych przestępstw, takich jak rabunek czy defraudacja. Z tego powodu płatności za ransomware również są zwykle uzasadnione. Dlaczego bowiem firma ma płacić podatek od pieniędzy, których nie ma i musiała je przeznaczyć na okup? "Firmie, która zapłaciła okup w ataku ransomware, radziłbym, aby odliczyła to od podatku" - powiedział w wywiadzie dla CBSNews.com Scott Harty, prawnik ds. podatków od osób prawnych w kalcelarii Alston & Bird. "To pasuje do definicji zwykłego i koniecznego wydatku".

Niewykluczone, że już w najbliższej przyszłości firmy, które padną ofiarą ataku ransomware, będą również gruntownie sprawdzone pod kątem tego, czy czasami same nie stoją za jego przeprowadzeniem. Jednocześnie organizacje, które chcą się zabezpieczyć, powinny zdecydowanie zwiększyć nakłady na cybersecurity. Liczba ataków ransomware w ostatnich miesiącach staje się coraz większa.

Warto też pamiętać, że istnieją już na rynku ubezpieczenia od cyberataków i cyber zagrożeń.