Avustralyalı şirketler yakında fidye yazılımı saldırganlarına teslim ettikleri fidye ödemelerini hükümete bildirmek zorunda kalabilirler.
Avustralya hükümetinin tam bir anlaşmayı değerlendirmesinin üzerinden çok da uzun zaman geçmedi fidye ödemelerinin yasaklanması ülke çapında. Bu fikir hayatta kalmadı, ancak biraz daha yumuşak bir kural ortaya atıldı ulusal siber güvenlik strateji belgesi Geçtiğimiz Kasım ayında yayımlandı. Bu belgenin derinliklerine gömülmüş tek bir cümlede, hükümet “Tehditten bir adım önde olmak için, işletmeler için hatasız, sorumluluk gerektirmeyen bir fidye yazılımı bildirim yükümlülüğünü yasalaştırmak için sektör seçenekleriyle birlikte tasarım yapacağız.” niyetini belirtti.
Bu yükümlülüğün, önümüzdeki birkaç hafta içinde parlamentoya getirilmesi beklenen ülkenin Siber Güvenlik Yasası’nın bir parçası olduğu düşünülüyor.
Pazartesi gününe kadar Avustralya İçişleri Bakanı olan Clare O’Neil ile yapılan bir röportajın ardından Avustralya Yayın Kurumu (ABC), yıllık geliri 3 milyon Avustralya dolarından (1,96 milyon ABD doları) fazla olan işletmelerin fidye ödemelerini bildirmek zorunda kaldılarAncak, uyulmaması durumunda verilecek para cezasının sadece 15.000 dolar olduğu söyleniyor.
Dark Reading, yeni kuralla ilgili haberleri doğrulamak için Avustralya İçişleri Bakanlığı ile iletişime geçti.
Woods Rogers Vandeventer Black (WRVB) Siber Güvenlik ve Veri Gizliliği bölümünün başkanı Beth Burgin Waller, “Bu tür yasaların amacı, hükümetlerin kötü niyetli kişilere giden fonlar hakkında bilgi sahibi olmasını sağlayarak bu ödemeleri takip edebilmelerini ve suçluları adalete teslim edebilmelerini sağlamaktır” şeklinde açıklıyor.
Avustralya’nın durumunda, “Önerilen yasa tasarısı, Amerika Birleşik Devletleri’nde gördüğümüzü yansıtıyor gibi görünüyor CİRCIA (2022 Kritik Altyapı için Siber Olay Bildirimi Yasası), kapsam dahilindeki kuruluşların fidye ödemelerini CISA’ya yaptıktan sonraki 24 saat içinde bildirmelerini gerektirir,” diye açıklıyor. “Ancak Avustralya’nın önerdiği yasa daha geniştir, çünkü fidye ödemesi yapan herhangi bir işletme için geçerli gibi görünürken, CIRCIA’nın yalnızca ‘kapsanan kuruluşları’ kapsadığı ve mevcut önerilen CIRCIA düzenlemelerinin geniş bir şekilde tanımladığı anlaşılıyor.”
Fidye Açıklamasını Zorlamak İşe Yarar Mı?
Avustralya son yıllarda bazı büyük siber saldırılarla sarsıldı. 2022’de, milyonlarca tüketici kaydının ihlali telekomünikasyon şirketi Optus’u vurdu. Kısa bir süre sonra, bir benzer kapsamdaki durum sağlık sigortası sağlayıcısı Medibank’ı vurdu. Geçtiğimiz yıl, bir siber kesinti dört çekirdek bağlantı noktası düştü bir hafta sonu için ülke çapında. Ve daha fazlası da oldu.
Avustralya ekonomisine olan zarar önemli olmuştur. Eski bakan O’Neil’in 2023-2030 Avustralya Siber Güvenlik Stratejisi’ne yazdığı önsözde belirttiği gibi, hükümete her altı dakikada bir siber olay bildirilmektedir. (Elbette, bu bildirilmeyen tüm olayları içermez.) Bu arada fidye yazılımları, Avustralyalı kuruluşlara yılda 3 milyar dolar değerinde zarar vermekten sorumludur ve siber saldırı maliyetleri yılda %14 artmaktadır.
Sorunu dizginlemeye yardımcı olan herhangi bir katı ve hızlı kural kaçınılmaz olarak farklı kuruluşları farklı şekilde etkiler. Bir yandan, söz konusu maliyetleri karşılayabilen ve daha net düzenlemelerden en fazla faydalanabilecek daha büyük şirketler vardır.
Waller, “Bu tür yasaların dünya genelinde yerel olarak ortaya çıkması, merkezi ABD’de olup önemli operasyonları Avustralya’da bulunan çok uluslu kuruluşlar için uyum açısından bir karmaşa yaratıyor” diyor.
Bu arada daha küçük kuruluşların siber güvenliğe ayıracakları daha az kaynak ve yetersiz kaldıklarında ödeyecekleri cezalar için daha az paraları var. ABC’ye göre, Avustralya Ticaret ve Sanayi Odası (ACCI) ticaret örgütü yaklaşan Siber Güvenlik Yasası’nın bazı kısımlarını destekliyor ancak raporlama kuralından etkilenen işletmeler için asgari gelir eşiğinin 10 milyon dolar olması gerektiğini öneriyor.
Daha Güçlü Siber Savunmalar İçin Teşvik
Umut, her şeye rağmen, olası olumsuz yan etkilerin kolluk kuvvetleri için daha fazla görünürlük ve şirketlerin kendilerini geliştirmeleri için daha etkili teşvikler sayesinde telafi edilmesidir.
Keeper Security’de siber güvenlik savunucusu olan Anne Cutler, “Zorunlu ifşalar, siber suçlularla yapılan müzakerelere ilişkin kurumsal uygulamaların yeniden değerlendirilmesine yol açabilir” diyor. “Fidye ödemelerini ifşa etmeleri gerektiği bilgisine sahip olan iş liderleri, kamuya ifşa ile birlikte gelen mali ve itibar incelemesinden kaçınmak için önleyici tedbirlere ve sağlam olay müdahale planlarına daha fazla yatırım yapmaya ikna edilebilir.”