Khi các cuộc tấn công bằng mã độc tống tiền (ransomware) gia tăng, FBI đang tăng gấp đôi hướng dẫn của mình đối với các doanh nghiệp bị ảnh hưởng: Đừng trả tiền cho các tội phạm mạng. Nhưng chính phủ Hoa Kỳ cũng có sự khuyến khích gây chú ý một chút đối với những công ty trả tiền cho tội phạm: Các khoản tiền chuộc có thể được khấu trừ thuế.

IRS không đưa ra hướng dẫn chính thức về các khoản tiền chuộc trả cho [tin tặc] mã độc tống tiền, nhưng nhiều chuyên gia thuế được Associated Press phỏng vấn cho biết các khoản khấu trừ thường được cho phép dựa theo luật và hướng dẫn đã được thiết lập.

Bị mã độc tống tiền tấn công
Tòa nhà của Sở Thuế vụ (IRS) ở Hoa Thịnh Đốn vào ngày 15/04/2019. (Ảnh: Zach Gibson/Getty Images)

Như một số luật sư thuế và kế toán nhìn nhận, việc cho phép khấu trừ này là một “điểm sáng” đối với các nạn nhân của mã độc tống tiền.

Tuy nhiên, những người muốn ngăn cản việc trả tiền chuộc cho [tin tặc tống tiền] thì ít lạc quan hơn. Họ lo sợ việc khấu trừ này là động lực gây vấn đề tiềm ẩn có thể lôi kéo các doanh nghiệp trả tiền chuộc đi ngược lại với lời khuyên của cơ quan thực thi pháp luật. Họ nói rằng, ở mức tối thiểu, khả năng được khấu trừ gửi một thông điệp trái ngược đến các doanh nghiệp bị ép [trả tiền chuộc].

Dân biểu John Katko, đảng viên Cộng Hòa hàng đầu trong Ủy ban An ninh Nội địa cho biết, “Việc khấu trừ này có vẻ hơi phi lý đối với tôi.”

Có thể được khấu trừ là một phần của tình thế khó khăn lớn hơn bắt nguồn từ sự gia tăng các cuộc tấn công bằng mã độc tống tiền, trong đó tội phạm mạng xáo trộn dữ liệu trên máy điện toán và yêu cầu trả tiền để mở khóa các tệp dữ liệu. Chính phủ không muốn các khoản thanh toán tiền chuộc tài trợ cho các băng nhóm tội phạm và có thể dẫn tới nhiều cuộc tấn công hơn. Nhưng việc không trả tiền chuộc có thể gây ra những hậu quả khủng khiếp cho các doanh nghiệp và có khả năng ảnh hưởng đến nền kinh tế nói chung.

Một cuộc tấn công bằng mã độc tống tiền vào Colonial Pipeline hồi tháng trước (05/2021) đã dẫn đến tình trạng thiếu xăng tại nhiều nơi ở Hoa Kỳ. Công ty này–vận chuyển khoảng 45% nhiên liệu tiêu thụ trên Bờ biển phía Đông–đã trả cho tin tặc 75 bitcoin, được định giá khoảng 4.4 triệu USD khi đó. Một cuộc tấn công nhắm vào JBS SA, công ty chế biến thịt lớn nhất thế giới, đe dọa làm gián đoạn nguồn cung cấp thực phẩm. Công ty này cho biết họ đã trả số tiền tương đương với 11 triệu USD cho những tin tặc đột nhập vào hệ thống máy điện toán của họ.

Theo Palo Alto Networks, mã độc tống tiền đã trở thành một hoạt động kinh doanh trị giá hàng tỷ dollar, và khoản thanh toán trung bình là hơn 310.000 USD vào năm ngoái, tăng 171% so với năm 2019.

Các chuyên gia thuế cho biết, các công ty trực tiếp trả tiền theo yêu cầu của [tin tặc] mã độc tống tiền có quyền yêu cầu khấu trừ. Để được khấu trừ thuế, các khoản chi phí doanh nghiệp phải được coi là bình thường và cần thiết. Các công ty từ lâu đã có thể khấu trừ thiệt hại từ các tội phạm truyền thống hơn, chẳng hạn như trộm cướp hoặc biển thủ, và các chuyên gia cho biết thông thường các khoản thanh toán cho [tin tặc] mã độc tống tiền cũng hợp lệ.

Ông Scott Harty, luật sư thuế doanh nghiệp của hãng Alston & Bird cho biết: “Tôi sẽ khuyên khách hàng thực hiện việc khấu trừ thuế cho khoản tiền đó. Điều này phù hợp với định nghĩa về một khoản chi phí bình thường và cần thiết.”

Năm 2017, ông Don Williamson, một giáo sư thuế tại Trường Kinh doanh Kogod thuộc trường Đại học Mỹ, đã viết một bài báo nói về hậu quả về thuế của việc thanh toán cho [tin tặc] mã độc tống tiền. Ông cho biết, kể từ đó, sự gia tăng của các cuộc tấn công bằng mã độc tống tiền chỉ củng cố việc IRS cho phép các khoản thanh toán tiền chuộc cho [tin tặc] mã độc tống tiền như các khoản khấu trừ thuế.

Ông nói rằng, “Các cuộc tấn công bằng mã độc tống tiền trở nên phổ biến hơn, vì thế nó trở nên bình thường hơn.” 

Những người chỉ trích [việc cho phép khấu trừ] cho rằng vậy thì càng có thêm lý do để không cho phép các khoản thanh toán tiền chuộc cho [tin tặc] mã độc tống tiền được khấu trừ thuế.

Ông Josephine Wolff, một giáo sư về chính sách an ninh mạng tại Trường Fletcher thuộc Đại học Tufts cho biết, “Chúng ta trả tiền chuộc càng rẻ hơn, thì chúng ta càng tạo ra nhiều động lực hơn để các công ty trả tiền chuộc, chúng ta càng tạo ra nhiều động lực hơn để các tội phạm tiếp tục.”

Trong nhiều năm, mã độc tống tiền đã là một mối đe dọa kinh tế hơn là một mối đe dọa lớn đối với quốc gia. Nhưng các cuộc tấn công do các băng đảng mạng ở ngoại quốc thực hiện nằm ngoài tầm với của cơ quan thực thi pháp luật Hoa Kỳ đã gia tăng quy mô [tống tiền] trong năm vừa qua, và đẩy vấn đề mã độc tống tiền lên các trang nhất.

Đáp lại, các quan chức thực thi pháp luật hàng đầu của Hoa Kỳ đã kêu gọi các công ty không đáp ứng những yêu cầu của tin tặc mã độc tống tiền.

Vào tháng này (06/2021), Giám đốc FBI Christopher Wray đã xác nhận trước Quốc hội rằng, “Đó là chính sách của chúng tôi, đó là hướng dẫn của chúng tôi, từ FBI, rằng các công ty không nên trả tiền chuộc vì một số lý do.” Thông điệp đó đã được ông Eric Goldstein, một quan chức hàng đầu tại Cơ quan An ninh Cơ sở Hạ tầng & An ninh Mạng của Bộ An ninh Nội địa (Department of Homeland Security’s Cybersecurity & Infrastructure Security Agency) nhắc lại trong một phiên điều trần khác trong tuần lễ kết thúc vào ngày 18/06.

Ông Stephen Nix, trợ lý của đặc vụ phụ trách Cơ quan Mật vụ Hoa Kỳ, cho biết trong một hội nghị thượng đỉnh gần đây về an ninh mạng rằng các quan chức cảnh báo những khoản thanh toán sẽ dẫn đến việc có nhiều cuộc tấn công bằng mã độc tống tiền hơn. “Chúng ta đang rơi vào tình huống hiện nay vì trong vài năm qua mọi người đã trả tiền chuộc cho tin tặc.”

Không rõ có bao nhiêu công ty trả tiền chuộc cho các [tin tặc] mã độc tống tiền hưởng lợi từ các khoản khấu trừ thuế. Khi được hỏi tại một phiên điều trần trước Quốc hội liệu công ty có theo đuổi việc khấu trừ thuế cho các khoản tiền [trả cho tin tặc mã độc tống tiền] hay không, Tổng Giám đốc của công ty Colonial Joseph Blount cho biết ông không biết về việc có thể được khấu trừ.

Ông nói, “Câu hỏi tuyệt vời. Tôi không biết chuyện này. Không biết một chút nào về chuyện này.”

Có những giới hạn đối với khoản khấu trừ. Nếu tổn thất của công ty được chi trả bởi bảo hiểm mạng—một thực tế cũng đang trở nên phổ biến hơn—thì công ty không thể khấu trừ khoản thanh toán do công ty bảo hiểm đã thực hiện [bồi thường].

Theo một báo cáo mới từ Văn phòng Trách nhiệm Chính phủ, cơ quan kiểm toán của Quốc hội, từ năm 2016 đến 2019, số lượng hợp đồng bảo hiểm mạng đang còn hiệu lực đã tăng từ 2.2 triệu lên 3.6 triệu, tăng 60%. Liên quan tới các hợp đồng này là khoản phí bảo hiểm được trả tăng 50%, từ 2.1 tỷ USD lên 3.1 tỷ USD.

Chính phủ TT Biden đã cam kết ưu tiên hạn chế mã độc tống tiền sau một loạt các vụ xâm nhập cao cấp và cho biết đang xem xét các chính sách của chính phủ Hoa Kỳ liên quan đến mã độc tống tiền. Chính phủ không cung cấp bất kỳ chi tiết nào về những thay đổi, nếu có, mà chính phủ có thể thực hiện liên quan đến khả năng khấu trừ thuế của mã độc tống tiền. 

Phát ngôn viên của IRS, bà Robyn Walker, cho biết, “IRS biết chuyện này và đang tìm hiểu sự việc.”

Do Alan Suderman và Mary Gordon của The Associated Press thực hiện
Kim Liên biên dịch
Tham khảo bản gốc từ The Epoch Times

Xem thêm:

Chia sẻ bài viết này tới bạn bè của bạn