Terwijl ransomware-aanvallen toenemen, verdubbelt de FBI haar advies aan getroffen bedrijven:betaal de cybercriminelen niet. Maar de Amerikaanse regering biedt ook een weinig opgemerkte stimulans voor degenen die wel betalen:het losgeld kan fiscaal aftrekbaar zijn.

De IRS biedt geen formele richtlijnen voor ransomware-betalingen, maar meerdere belastingdeskundigen die door The Associated Press zijn geïnterviewd, zeiden dat inhoudingen gewoonlijk zijn toegestaan ​​volgens de wet en vastgestelde richtlijnen. Het is een "zilveren randje" voor slachtoffers van ransomware, zoals sommige belastingadvocaten en accountants het uitdrukken.

Maar degenen die betalingen willen ontmoedigen, zijn minder optimistisch. Ze vrezen dat de aftrek een potentieel problematische stimulans is die bedrijven zou kunnen verleiden om losgeld te betalen tegen het advies van de wetshandhavers in. Volgens hen stuurt de aftrekbaarheid op zijn minst een dissonant bericht naar bedrijven die onder druk staan.

"Het lijkt me een beetje ongerijmd", zei de New Yorkse vertegenwoordiger John Katko, de hoogste Republikein in de House Committee on Homeland Security.

Aftrekbaarheid is een deel van een groter dilemma als gevolg van de toename van ransomware-aanvallen, waarbij cybercriminelen computergegevens door elkaar gooien en betaling eisen voor het ontgrendelen van de bestanden. De regering wil geen betalingen die criminele bendes financieren en meer aanvallen zouden kunnen aanmoedigen. Maar niet betalen kan verwoestende gevolgen hebben voor bedrijven en mogelijk voor de economie in het algemeen.

Een ransomware-aanval op Colonial Pipeline vorige maand leidde tot gastekorten in delen van de Verenigde Staten. Het bedrijf, dat ongeveer 45% van de verbruikte brandstof aan de oostkust vervoert, betaalde een losgeld van 75 bitcoin, en werd toen geschat op ongeveer $ 4,4 miljoen. Een aanval op JBS SA, 's werelds grootste vleesverwerkingsbedrijf, dreigde de voedselvoorziening te verstoren. Het bedrijf zei dat het het equivalent van $ 11 miljoen had betaald aan hackers die inbraken in zijn computersysteem.

Ransomware is een miljardenbusiness geworden en de gemiddelde betaling was vorig jaar meer dan $ 310.000, een stijging van 171% ten opzichte van 2019, volgens Palo Alto Networks.

De bedrijven die ransomware-eisen rechtstreeks betalen, vallen ruim binnen hun recht om een ​​aftrek te claimen, aldus belastingdeskundigen. Om fiscaal aftrekbaar te zijn, moeten bedrijfskosten als gewoon en noodzakelijk worden beschouwd. Bedrijven kunnen al lang verliezen aftrekken van meer traditionele misdaden, zoals diefstal of verduistering, en experts zeggen dat betalingen voor ransomware meestal ook geldig zijn.

"Ik zou een klant adviseren om er een aftrekpost voor te nemen", zegt Scott Harty, een vennootschapsbelastingadvocaat bij Alston &Bird. "Het past in de definitie van een gewone en noodzakelijke uitgave."

Don Williamson, een belastingprofessor aan de Kogod School of Business aan de American University, schreef in 2017 een paper over de fiscale gevolgen van ransomwarebetalingen. ransomware-betalingen als belastingaftrek.

"Het komt steeds vaker voor, dus daarom wordt het gewoner", zei hij.

Dat is des te meer reden, zeggen critici, om betalingen van ransomware als belastingaftrek niet toe te staan.

"Hoe goedkoper we het maken om dat losgeld te betalen, hoe meer prikkels we creëren voor bedrijven om te betalen, en hoe meer prikkels we creëren voor bedrijven om te betalen, hoe meer prikkels we creëren voor criminelen om door te gaan." zei Josephine Wolff, hoogleraar cyberbeveiligingsbeleid aan de Fletcher School of Tufts University.

Jarenlang was ransomware meer een economische overlast dan een grote nationale dreiging. Maar aanvallen van buitenlandse cyberbendes die buiten het bereik van de Amerikaanse wetshandhaving liggen, zijn het afgelopen jaar in omvang toegenomen en hebben het probleem van ransomware op de voorpagina's gezet.

Als reactie daarop hebben Amerikaanse topfunctionarissen van de wetshandhaving er bij bedrijven op aangedrongen niet te voldoen aan de eisen van ransomware.

"Het is ons beleid, het is onze leidraad, van de FBI, dat bedrijven om een ​​aantal redenen het losgeld niet mogen betalen", getuigde FBI-directeur Christopher Wray deze maand voor het Congres. Die boodschap werd deze week herhaald tijdens een andere hoorzitting door Eric Goldstein, een topfunctionaris bij het Cybersecurity &Infrastructure Security Agency van het Department of Homeland Security.

Ambtenaren waarschuwen dat betalingen leiden tot meer ransomware-aanvallen. "We zitten in deze boot waarin we ons nu bevinden omdat mensen de afgelopen jaren het losgeld hebben betaald", zei Stephen Nix, assistent van de speciale agent die de leiding heeft bij de Amerikaanse geheime dienst, tijdens een recente top over cyberbeveiliging.

Het is onduidelijk hoeveel bedrijven die ransomwarebetalingen betalen gebruik maken van de belastingaftrek. Toen hem tijdens een hoorzitting van het congres werd gevraagd of het bedrijf belastingaftrek zou nastreven voor de betaling, zei Colonial CEO Joseph Blount dat hij niet wist dat dit een mogelijkheid was.

"Geweldige vraag. Ik had daar geen idee van. Ik was me daar helemaal niet van bewust," zei hij.

Er zijn grenzen aan de aftrek. Als het verlies voor het bedrijf wordt gedekt door een cyberverzekering - iets dat ook steeds vaker voorkomt - kan het bedrijf de betaling die door de verzekeraar wordt gedaan niet aftrekken.

Het aantal actieve cyberverzekeringen is tussen 2016 en 2019 gestegen van 2,2 miljoen naar 3,6 miljoen, een stijging van 60%, volgens een nieuw rapport van het Government Accountability Office, de controleafdeling van het Congres. Daaraan gekoppeld was een stijging van 50% van de betaalde verzekeringspremies, van $ 2,1 miljard naar $ 3,1 miljard.

De regering-Biden heeft beloofd om van het terugdringen van ransomware een prioriteit te maken in de nasleep van een reeks spraakmakende inbraken en zei dat het het beleid van de Amerikaanse regering met betrekking tot ransomware herziet. Het heeft geen details gegeven over de eventuele wijzigingen die het kan aanbrengen met betrekking tot de fiscale aftrekbaarheid van ransomware.

"De IRS is hiervan op de hoogte en onderzoekt het", zegt IRS-woordvoerder Robyn Walker.