Sahtekarlık Yönetimi ve Siber Saldırı, Geo-Spesifik, Fidye Yazılımı
Yeni Avustralya mevzuatı kapsamında raporlanacak fidye tehditleri
Jayant Chakravarti (@Jayjay_tech) •
22 Nisan 2025
Avustralya kuruluşlarının yetkililere fidye yazılımı ödemelerinin zorunlu olarak raporlanmasını gerektiren yeni bir yasaya hazırlanmak için yaklaşık 40 gün vardır.
Ayrıca bakınız: İngiltere Kamu Sektörü ve Eğitiminde Fidye Yazılımı Önleme için Nihai Stratejiler
Kasım ayında Parlamentonun her iki evi tarafından kabul edilen 2024 Siber Güvenlik Yasası, belirli işletmelerin 30 Mayıs’tan itibaren fidye yazılımı operatörlerine yapılan ödemeleri bildirmelerini zorunlu hale getirecek. Olayları veya ödemelerin bildirilmemesi, şu anda 19.800 $ ‘lık bir maksimum para cezası çekebilir. Avustralya, değeri zaman içinde artan birimler aracılığıyla para cezalarını değerlendirir ve şu anda 330 $ değerinde bir birim.
Raporlama yetkisi, yıllık cirosu en az 3 milyon dolar veya 1.91 milyon dolar olan kuruluşlar ve kritik altyapı operatörü olarak belirlenen kuruluşlar için geçerlidir. Bu kuruluşlar kayıtlı işletmelerin yaklaşık% 6,5’ini oluşturmaktadır ve 72 saat içinde fidye yazılımı ödemelerini Avustralya Sinyalleri Müdürlüğüne bildirmek zorundadır.
Hükümet ilk olarak, 2024 yılının başlarında yayınlanan fidye yazılımları taslak faturasında, ajansların “fidye yazılımı tehdidinin Avustralya işletmeleri üzerindeki kapsamı ve etkisi konusunda net bir zeka olmasını sağladı (bakınız: Avustralya işletmelerin fidye ödemelerini bildirmesini gerektirebilir).
İçişleri Bakanlığı Etki Analizi Ofisi, fidye yazılımı ödemelerinin yetersiz raporlanmasının, hükümetin siber tehdit manzarasını anlamasını sınırladığını ve raporlama yükümlülüğünün “fidye yazılımı iş modelini kırmasına” yardımcı olacağını belirtti.
Raporlama yetkisi, kuruluşların fidye ödeme tutarını, ödemenin nasıl ve ne zaman yapıldığını, saldırının iş üzerindeki etkisini, orijinal gasp talebini ve “olay, talep ve ödeme ile ilgili zorlayıcı kuruluşla iletişim” i bildirmelerini gerektirir.
ASD rakamlarına göre, kurşun siber güvenlik ajansı, 2022-23 yıllarında bildirilen 118 fidye yazılımı olayına yanıt verdi, ancak hükümet, fidye yazılımı ödemelerinin gerçek sayısının, düzenleyici eylem, para cezası, dava ya da hakimiyeti bildirmek için yerleşik bir mekanizma korkusundan rapor edemediği için, kurban kuruluşlarının, ransmware olumsuzluklarını rapor edemediği için çok daha yüksek olduğuna inanıyor.
Fidye yazılımı olaylarıyla ilgili bilgileri kullanma olasılığı konusundaki endüstri endişelerini ortadan kaldırmak için, mağdur kuruluşları kovuşturmak için yargılamak için, mağdur kuruluşların soruşturma kurumlarıyla paylaştıkları bilgiler için yasal işlem veya düzenleyici cezalarla karşılaşmamasını sağlamak için “sınırlı bir kullanım yükümlülüğü” getirmiştir.