Rammet af et ransomware-angreb? Din betaling kan være fradragsberettiget

Efterhånden som ransomware-angreb stiger, fordobler FBI sin vejledning til berørte virksomheder:Lad være med at betale cyberkriminelle. Men den amerikanske regering tilbyder også et lidt bemærket incitament til dem, der betaler:Løsesummen kan være fradragsberettiget i skat.

IRS tilbyder ingen formel vejledning om ransomware-betalinger, men flere skatteeksperter, der er interviewet af The Associated Press, sagde, at fradrag normalt er tilladt i henhold til loven og etableret vejledning. Det er en "sølv lining" for ransomware-ofre, som nogle skatteadvokater og revisorer udtrykker det.

Men dem, der ønsker at afskrække betalinger, er mindre sanselige. De frygter, at fradraget er et potentielt problematisk incitament, der kan lokke virksomheder til at betale løsesummer mod råd fra de retshåndhævende myndigheder. Som minimum, siger de, sender fradragsretten en uoverensstemmende besked til virksomheder under tvang.

"Det virker lidt uoverensstemmende for mig," sagde New York-repræsentanten John Katko, den øverste republikaner i Repræsentanternes Komité for Hjemmelandsikkerhed.

Fradrag er en del af et større dilemma, der stammer fra stigningen i ransomware-angreb, hvor cyberkriminelle forvrider computerdata og kræver betaling for at låse filerne op. Regeringen ønsker ikke betalinger, der finansierer kriminelle bander og kan tilskynde til flere angreb. Men manglende betaling kan have ødelæggende konsekvenser for virksomheder og potentielt for økonomien generelt.

Et ransomware-angreb på Colonial Pipeline i sidste måned førte til gasmangel i dele af USA. Virksomheden, der transporterer omkring 45% af brændstofforbruget på østkysten, betalte en løsesum på 75 bitcoin - dengang vurderet til omkring 4,4 millioner dollars. Et angreb på JBS SA, verdens største kødforarbejdningsvirksomhed, truede med at forstyrre fødevareforsyningerne. Selskabet sagde, at det havde betalt, hvad der svarer til 11 millioner dollars til hackere, der brød ind i dets computersystem.

Ransomware er blevet en multimilliard-dollar-forretning, og den gennemsnitlige betaling var mere end $310.000 sidste år, en stigning på 171 % fra 2019, ifølge Palo Alto Networks.

De virksomheder, der betaler ransomware-krav direkte, er inden for deres ret til at kræve et fradrag, sagde skatteeksperter. For at være skattemæssigt fradragsberettigede bør virksomhedens udgifter betragtes som almindelige og nødvendige. Virksomheder har længe været i stand til at fratrække tab fra mere traditionelle forbrydelser, såsom røveri eller underslæb, og eksperter siger, at ransomware-betalinger normalt også er gyldige.

"Jeg vil råde en klient til at tage et fradrag for det," siger Scott Harty, en selskabsskatteadvokat hos Alston &Bird. "Det passer til definitionen af ​​en almindelig og nødvendig udgift."

Don Williamson, skatteprofessor ved Kogod School of Business ved American University, skrev et papir om de skattemæssige konsekvenser af ransomware-betalinger i 2017. Siden da, sagde han, har stigningen i ransomware-angreb kun styrket sagen for IRS at tillade ransomware-betalinger som skattefradrag.

"Det bliver mere almindeligt, så derfor bliver det mere almindeligt," sagde han.

Det er så meget desto større grund, siger kritikere, til at afvise ransomware-betalinger som skattefradrag.

"Jo billigere vi gør det for at betale den løsesum, jo ​​flere incitamenter vi skaber for virksomhederne til at betale, og jo flere incitamenter vi skaber for virksomhederne til at betale, jo mere incitament skaber vi for kriminelle til at fortsætte." sagde Josephine Wolff, professor i cybersikkerhedspolitik ved Fletcher School of Tufts University.

I årevis var ransomware mere en økonomisk gene end en stor national trussel. Men angreb lanceret af udenlandske cyberbander uden for rækkevidde af amerikansk retshåndhævelse er vokset i omfang i løbet af det seneste år og har skubbet problemet med ransomware ind på forsiderne.

Som svar har de øverste amerikanske retshåndhævende embedsmænd opfordret virksomheder til ikke at imødekomme krav om ransomware.

"Det er vores politik, det er vores vejledning fra FBI, at virksomheder ikke skal betale løsesummen af ​​en række årsager," vidnede FBI-direktør Christopher Wray denne måned før kongressen. Denne besked blev gentaget ved en anden høring i denne uge af Eric Goldstein, en topembedsmand ved Department of Homeland Security's Cybersecurity &Infrastructure Security Agency.

Embedsmænd advarer om, at betalinger fører til flere ransomware-angreb. "Vi er i denne båd, vi er i nu, fordi folk i løbet af de sidste mange år har betalt løsesummen," sagde Stephen Nix, assistent for den særlige agent, der er ansvarlig for US Secret Service, på et nyligt topmøde om cybersikkerhed.

Det er uklart, hvor mange virksomheder, der betaler ransomware-betalinger, der benytter sig af skattefradragene. Da han ved en kongreshøring blev spurgt, om virksomheden ville søge et skattefradrag for betalingen, sagde Colonial CEO Joseph Blount, at han ikke var klar over, at det var en mulighed.

"Godt spørgsmål. Jeg havde ingen idé om det. Jeg var slet ikke klar over det," sagde han.

Der er grænser for fradraget. Hvis tabet for selskabet er dækket af cyberforsikring – noget der også bliver mere almindeligt – kan selskabet ikke fradrage den betaling, som forsikringsselskabet har foretaget.

Antallet af aktive cyberforsikringer steg fra 2,2 millioner til 3,6 millioner fra 2016 til 2019, en stigning på 60 %, ifølge en ny rapport fra Government Accountability Office, Kongressens revisionsafdeling. I forbindelse hermed var en stigning på 50 % i betalte forsikringspræmier, fra $2,1 milliarder til $3,1 milliarder.

Biden-administrationen har lovet at gøre begrænsning af ransomware til en prioritet i kølvandet på en række højprofilerede indtrængen og sagde, at den gennemgår den amerikanske regerings politikker relateret til ransomware. Den har ikke givet nogen detaljer om, hvilke ændringer, hvis nogen, den kan foretage i forbindelse med skattefradrag for ransomware.

"IRS er klar over dette og undersøger det," sagde IRS talsmand Robyn Walker.