På detta foto 22 mars 2013, filfoto, exteriören av Internal Revenue Service (IRS)-byggnaden i Washington. När attacker mot ransomware ökar, fördubblar FBI sin vägledning till berörda företag:Betala inte cyberbrottslingarna. Men den amerikanska regeringen erbjuder också ett litet uppmärksammat incitament för dem som betalar:Lösen kan vara avdragsgilla. Kredit:AP Photo/Susan Walsh, Arkiv
När attacker mot ransomware ökar, fördubblar FBI sin vägledning till berörda företag:Betala inte cyberbrottslingarna. Men den amerikanska regeringen erbjuder också ett litet uppmärksammat incitament för dem som betalar:Lösen kan vara avdragsgilla.
IRS erbjuder ingen formell vägledning om betalningar av ransomware, men flera skatteexperter som intervjuats av The Associated Press sa att avdrag vanligtvis är tillåtna enligt lag och etablerad vägledning. Det är ett "silver foder" för offer för ransomware, som vissa skatteadvokater och revisorer uttrycker det.
Men de som vill avskräcka betalningar är mindre sansade. De fruktar att avdraget är ett potentiellt problematiskt incitament som kan locka företag att betala lösensummor mot inrådan från brottsbekämpande myndigheter. Som ett minimum, säger de, skickar avdragsrätten ett motstridigt meddelande till företag under tvång.
"Det verkar lite inkongruent för mig", säger New York-representanten John Katko, den högsta republikanen i parlamentets kommitté för inrikessäkerhet.
Avdragsrätten är en del av ett större problem som härrör från ökningen av ransomware-attacker, där cyberbrottslingar förvränger datordata och kräver betalning för att låsa upp filerna. Regeringen vill inte ha betalningar som finansierar kriminella gäng och kan uppmuntra till fler attacker. Men att inte betala kan få förödande konsekvenser för företag och potentiellt för ekonomin överlag.
En attack mot ransomware mot Colonial Pipeline förra månaden ledde till gasbrist i delar av USA. Företaget, som transporterar cirka 45 % av bränslet som förbrukas på östkusten, betalade en lösensumma på 75 bitcoin – då värderat till cirka 4,4 miljoner dollar. En attack mot JBS SA, världens största köttbearbetningsföretag, hotade att störa livsmedelsförsörjningen. Företaget sa att det hade betalat motsvarande 11 miljoner dollar till hackare som bröt sig in i dess datorsystem.
Ransomware har blivit en mångmiljardaffär, och den genomsnittliga betalningen var mer än 310 000 USD förra året, en ökning med 171 % från 2019, enligt Palo Alto Networks.
De företag som betalar krav på ransomware direkt är väl inom sina rättigheter att kräva ett avdrag, sa skatteexperter. För att vara avdragsgilla bör företagens utgifter anses vara vanliga och nödvändiga. Företag har länge kunnat dra av förluster från mer traditionella brott, som rån eller förskingring, och experter säger att betalningar för ransomware vanligtvis också är giltiga.
Colonial Pipeline VD Joseph Blount vittnar under en utfrågning i senatens utskott för hemlandsäkerhet och regeringsfrågor en dag efter att justitiedepartementet avslöjat att det hade återvunnit majoriteten av lösensumman på 4,4 miljoner dollar som företaget gjorde i hopp om att få sitt system online igen, tisdagen den 8 juni , 2021, på Capitol Hill, i Washington. Kredit:Andrew Caballero-Reynolds/Pool via AP
"Jag skulle råda en klient att ta ett avdrag för det", säger Scott Harty, en företagsskatteadvokat på Alston &Bird. "Det passar definitionen av en vanlig och nödvändig utgift."
Don Williamson, skatteprofessor vid Kogod School of Business vid American University, skrev en artikel om skattekonsekvenserna av betalningar av ransomware 2017. Sedan dess, sa han, har ökningen av ransomware-attacker bara stärkt fallet för IRS att tillåta betalningar av ransomware som skatteavdrag.
"Det blir vanligare, så därför blir det mer vanligt", sa han.
Det är desto större anledning, säger kritiker, att inte tillåta betalningar av ransomware som skatteavdrag.
"Ju billigare vi gör det för att betala den lösen, desto fler incitament vi skapar för företag att betala, och ju fler incitament vi skapar för företag att betala, desto mer incitament skapar vi för brottslingar att fortsätta." sa Josephine Wolff, professor i cybersäkerhetspolitik vid Fletcher School of Tufts University.
I flera år var ransomware mer av en ekonomisk olägenhet än ett stort nationellt hot. Men attacker som lanserats av utländska cybergäng utom räckhåll för amerikansk brottsbekämpning har ökat i omfattning under det senaste året och skjutit upp problemet med ransomware på förstasidorna.
Som svar har amerikanska polisens högsta tjänstemän uppmanat företag att inte uppfylla krav på ransomware.
"Det är vår policy, det är vår vägledning från FBI, att företag inte ska betala lösensumman av ett antal anledningar", vittnade FBI:s direktör Christopher Wray denna månad inför kongressen. Det meddelandet upprepades vid en annan utfrågning denna vecka av Eric Goldstein, en topptjänsteman vid Department of Homeland Securitys Cybersecurity &Infrastructure Security Agency.
På detta arkivfoto 12 oktober 2020 beger sig en arbetare till JBS köttförpackningsanläggning i Greeley, Colo. Världens största köttbearbetningsföretag säger att det betalade motsvarande 11 miljoner dollar till hackare som bröt sig in i dess datorsystem i slutet av förra månaden. Brasilien-baserade JBS SA sa den 31 maj att det var offer för en ransomware-attack, men onsdagen den 9 juni 2021 var första gången företagets amerikanska division bekräftade att de hade betalat lösen. Kredit:AP Photo/David Zalubowski, Arkiv
Tjänstemän varnar för att betalningar leder till fler ransomware-attacker. "Vi är i den här båten vi är i nu eftersom folk har betalat lösensumman under de senaste åren", sa Stephen Nix, assistent till den specialagent som ansvarar för US Secret Service, vid ett toppmöte nyligen om cybersäkerhet.
Det är oklart hur många företag som betalar ransomware-betalningar som utnyttjar skatteavdragen. På frågan vid en utfrågning i kongressen om företaget skulle göra ett skatteavdrag för betalningen sa Colonials vd Joseph Blount att han inte var medveten om att det var en möjlighet.
"Bra fråga. Jag hade ingen aning om det. Jag var inte medveten om det alls", sa han.
Det finns gränser för avdraget. Om förlusten för bolaget täcks av en cyberförsäkring – något som också blir allt vanligare – kan bolaget inte ta avdrag för betalningen som görs av försäkringsgivaren.
Antalet aktiva cyberförsäkringar ökade från 2,2 miljoner till 3,6 miljoner från 2016 till 2019, en ökning med 60 %, enligt en ny rapport från Government Accountability Office, kongressens revisionsarm. Kopplad till det var en 50-procentig ökning av betalda försäkringspremier, från 2,1 miljarder USD till 3,1 miljarder USD.
Biden-administrationen har lovat att göra begränsningen av ransomware till en prioritet i kölvattnet av en rad uppmärksammade intrång och sa att den ser över den amerikanska regeringens policy för ransomware. Den har inte tillhandahållit några detaljer om vilka ändringar, om några, den kan göra relaterade till skatteavdragsrätten för ransomware.
"IRS är medveten om detta och undersöker det", säger IRS talesman Robyn Walker.