Trước sự gia tăng các cuộc tấn công bằng mã độc tống tiền (ransomware), FBI hướng dẫn các doanh nghiệp gặp nạn rằng: Không trả tiền cho tội phạm mạng. Nhưng chính phủ Hoa Kỳ lại gây sự chú ý khi đưa ra thông điệp: Các khoản tiền chuộc có thể được khấu trừ thuế.

IRS không đưa ra hướng dẫn chính thức về các khoản tiền chuộc trả cho tin tặc mã độc tống tiền, nhưng nhiều chuyên gia thuế được Associated Press phỏng vấn cho biết các khoản khấu trừ thuế thường được chấp thuận dựa theo luật và hướng dẫn đã được thiết lập.

Tòa nhà của Sở Thuế vụ (IRS) ở Hoa Thịnh Đốn vào ngày 15/04/2019. (Ảnh: Zach Gibson/Getty Images)

Như một số luật sư thuế và kế toán nhìn nhận, việc cho phép khấu trừ thuế này là một cứu cánh đối với các nạn nhân của mã độc tống tiền.

Tuy nhiên, những người muốn ngăn cản việc trả tiền chuộc [cho tin tặc tống tiền] thì ít lạc quan hơn. Họ e ngại việc khấu trừ này là động lực tiềm ẩn khiến các doanh nghiệp bị hại đi ngược với lời khuyên của cơ quan thực thi pháp luật. 

Dân biểu John Katko, đảng viên Cộng Hòa hàng đầu trong Ủy ban An ninh Nội địa cho biết, “Việc khấu trừ này có vẻ hơi phi lý đối với tôi.”

Tấn công bằng mã độc tống tiền là việc tội phạm mạng xáo trộn dữ liệu trên máy điện toán của doanh nghiệp và yêu cầu trả tiền để mở khóa các tệp dữ liệu.

Một cuộc tấn công bằng mã độc tống tiền vào Colonial Pipeline hồi tháng 05/2021 đã dẫn đến tình trạng thiếu xăng tại nhiều nơi ở Hoa Kỳ. Colonial Pipeline vận chuyển khoảng 45% nhiên liệu tiêu thụ phía trên Bờ biển phía Đông – đã trả cho tin tặc 75 bitcoin, được định giá khoảng 4.4 triệu USD khi đó. Một cuộc tấn công nhắm vào JBS SA, công ty chế biến thịt lớn nhất thế giới, bị đe dọa làm gián đoạn nguồn cung cấp thực phẩm. Công ty này cho biết họ đã trả số tiền tương đương với 11 triệu USD cho những tin tặc đột nhập vào hệ thống máy điện toán của họ.

Theo Palo Alto Networks, mã độc tống tiền đã trở thành một hoạt động kinh doanh trị giá hàng tỷ dollar, và khoản thanh toán trung bình là hơn 310,000 USD vào năm ngoái, tăng 171% so với năm 2019.

Các chuyên gia thuế cho biết, các công ty trực tiếp trả tiền theo yêu cầu của [tin tặc] mã độc tống tiền có quyền yêu cầu khấu trừ thuế. Để được khấu trừ thuế, các khoản chi phí doanh nghiệp phải là bình thường và cần thiết. Các công ty từ lâu đã có thể khấu trừ thiệt hại từ các tội phạm phổ biến như trộm cướp hoặc biển thủ, và các chuyên gia cho biết thông thường các khoản thanh toán cho [tin tặc] mã độc tống tiền cũng hợp lệ.

Ông Scott Harty, luật sư thuế doanh nghiệp của hãng Alston & Bird cho biết: “Tôi sẽ khuyên khách hàng thực hiện việc khấu trừ thuế cho khoản chi phí đó. Điều này phù hợp với định nghĩa về một khoản chi phí bình thường và cần thiết.”

Trong nhiều năm, mã độc tống tiền đã là một mối đe dọa kinh tế hơn là một mối đe dọa lớn đối với quốc gia. Nhưng các cuộc tấn công do các băng đảng mạng ở ngoại quốc thực hiện nằm ngoài tầm với của cơ quan thực thi pháp luật Hoa Kỳ đã gia tăng quy mô [tống tiền] trong năm vừa qua, và đẩy vấn đề mã độc tống tiền lên các trang nhất.

Đáp lại, các quan chức thực thi pháp luật hàng đầu của Hoa Kỳ đã kêu gọi các công ty không đáp ứng những yêu cầu của tin tặc mã độc tống tiền.

Vào 06/2021, Giám đốc FBI Christopher Wray đã xác nhận trước Quốc hội rằng, “Đó là chính sách của chúng tôi; đó là hướng dẫn của chúng tôi, từ FBI, rằng các công ty không nên trả tiền chuộc vì một số lý do.” Thông điệp đó đã được ông Eric Goldstein, một quan chức hàng đầu tại Cơ quan An ninh Cơ sở Hạ tầng & An ninh Mạng của Bộ An ninh Nội địa nhắc lại trong một phiên điều trần khác trong tuần lễ kết thúc vào ngày 18/06.

Ông Stephen Nix, trợ lý của đặc vụ phụ trách Cơ quan Mật vụ Hoa Kỳ, cho biết trong một hội nghị thượng đỉnh gần đây về an ninh mạng rằng các quan chức cảnh báo những khoản thanh toán sẽ dẫn đến việc có nhiều cuộc tấn công bằng mã độc tống tiền hơn. “Chúng ta đang rơi vào tình huống hiện nay vì trong vài năm qua mọi người đã trả tiền chuộc cho tin tặc.”

Không rõ có bao nhiêu công ty trả tiền chuộc cho các [tin tặc] mã độc tống tiền được  khấu trừ thuế. Khi được hỏi tại một phiên điều trần trước Quốc hội liệu công ty có theo đuổi việc khấu trừ thuế cho các khoản tiền [trả cho tin tặc mã độc tống tiền] hay không, Tổng Giám đốc của công ty Colonial Joseph Blount cho biết ông không biết về việc có thể được khấu trừ thuế.

Ông nói, “Câu hỏi tuyệt vời. Tôi không biết chuyện này. Không biết một chút nào về chuyện này.”

Có những giới hạn đối với khoản khấu trừ. Nếu tổn thất của công ty được chi trả bởi bảo hiểm mạng – một thực tế cũng đang trở nên phổ biến hơn – thì công ty không thể khấu trừ thuế cho khoản thanh toán do công ty bảo hiểm đã bồi thường.

Theo một báo cáo mới từ Văn phòng Trách nhiệm Chính phủ, cơ quan kiểm toán của Quốc hội, từ năm 2016 đến 2019, số lượng hợp đồng bảo hiểm mạng đang còn hiệu lực đã tăng từ 2.2 triệu lên 3.6 triệu, tăng 60%. Liên quan tới các hợp đồng này là khoản phí bảo hiểm được trả tăng 50%, từ 2.1 tỷ USD lên 3.1 tỷ USD.

Chính phủ TT Biden đã cam kết ưu tiên hạn chế mã độc tống tiền sau một loạt các vụ xâm nhập cao cấp và cho biết đang xem xét các chính sách của chính phủ Hoa Kỳ liên quan đến mã độc tống tiền. Chính phủ không cung cấp bất kỳ chi tiết nào về những thay đổi, nếu có, mà chính phủ có thể thực hiện liên quan đến khả năng khấu trừ thuế của mã độc tống tiền. 

Phát ngôn viên của IRS, bà Robyn Walker, cho biết, “IRS biết chuyện này và đang tìm hiểu sự việc.”

The Associatea Press
Do Alan Suderman và Mary Gordon thực hiện
Kim Liên biên dịch