Fidye yazılımı korsanlarına ödeme yapan işletmeler, parlamentoya sunulan önerilen siber güvenlik yasaları uyarınca bunu hükümete bildirmek zorunda kalabilir.
Siber Güvenlik Tasarısı 2024 Siber Güvenlik Bakanı Tony Burke tarafından açıklandı ve diğer şeylerin yanı sıra “inşa etmeyi” hedeflediğini söyledi. [the government’s] fidye yazılımı tehdidinin anlaşılması”.
Tasarının unsurları hükümet tarafından ilk kez 2021’de vaat edilmişti ve bu dönemde fidye yazılımı saldırıları hızla arttı. Hükümet aynı zamanda potansiyel ihtiyacının da altını çizdi. Siber Güvenlik Yasası geçen yıl şubat ayında.
İçişleri daha sonra çeşitli istişarelerde bulundu ve geçen ay sektöre bir tanıtım taslağının gönderilmesiyle sonuçlandı. Hükümet, endüstriden gelen geri bildirimleri “genel olarak destekleyici” olarak nitelendirdi. [pdf]
Parlamentoda konuşan Burke, fidye yazılımı saldırılarının “Avustralya ekonomisine ve ulusal güvenliğe büyük çapta zarar vermeye” devam ettiğini ve Avustralyalı işletmelerin 2023’te bilgisayar korsanlarına ortalama 9,27 milyon dolar ödediğini söyledi.
Burke, “Bu sorunun çözülmesi gerekiyor” dedi.
“Fidye yazılımı ödemelerinin zorunlu olarak raporlanması, fidye yazılımı saldırıları yoluyla işletmelerden ne kadar gasp edildiğine dair tablomuzu netleştirecek.
“Bu ödemeler kime ve nasıl yapılıyor? Bu zamanında ve kapsamlı öngörülerle hükümet, sektör için en yararlı kaynakları, araçları ve destekleri daha iyi geliştirebilecek ve fidye yazılımı iş modelini kırmaya yardımcı olabilecek.
“Birlikte gelecekteki fidye yazılımı krizlerini önlemek ve işletmelerin toparlanmalarını sağlamak için çalışabiliriz.”
Siber Güvenlik Tasarısı değişiklikleri de içeren bir mevzuat reform paketidir. İstihbarat Hizmetleri Yasası ve Kritik Altyapı Güvenliği Yasası, daha çok SoCI olarak bilinir.
İşletmeleri fidye yazılımı olaylarını gönüllü olarak bildirmeye teşvik etmek amacıyla tasarı, Ulusal Siber Güvenlik Koordinatörünün sağlanan bilgileri kullanabileceği veya paylaşabileceği koşulları sınırlayan bir önlem içerecek.
Değişiklik İstihbarat Hizmetleri Yasası aynı sınırlamayı Avustralya Sinyal Müdürlüğüne de uygulayacak.
Sınırlama, kendilerini değerli olay müdahale bilgilerine ilişkin döngünün dışında kalmış buldukları için istihbarat teşkilatları tarafından teşvik edildi.
Burke, tasarının tamamının “toplu olarak ulusal siber savunmalarımızı güçlendireceğini ve Avustralya ekonomisi genelinde siber dayanıklılık oluşturacağını” söyledi.
“Bu, Avustralya hükümetinin 2030 yılına kadar siber güvenlikte dünya lideri olma vizyonuna ulaşma yolunda önemli bir adımdır” dedi.
“Bu vizyona ulaşmak için Avustralya’nın, tüm ekonomiyi kapsayan siber güvenlik sorunlarını ele alan ve bizi yeni ve ortaya çıkan tehditlere yanıt verebilecek şekilde konumlandıran açık bir yasal çerçeveye ihtiyacı var.”
Siber Güvenlik Tasarısı 2024 akıllı cihazlar için zorunlu güvenlik standartlarını da oluşturacak.
Burke, “Avustralyalılar evlerinde akıllı cihazların rahatlığını seviyor ancak tüketicilerin akıllı cihazların hâlâ güvenli cihazlar olduğunu bilmesi gerekiyor” dedi. “Bu cihazlar şu anda genellikle temel siber güvenlik korumalarından yoksundur.”
Ayrıca önemli siber güvenlik olaylarını inceleyecek bağımsız bir siber olay inceleme kurulu da kurulacak.
Burke, “2022’deki Optus ve Medibank ihlalleri ve daha yakın tarihli MediSecure veri ihlali, hükümetin ve Endüstrinin kolektif olarak yüksek etkili siber güvenlik olaylarından ders alması ve gelecekteki saldırılar için beklenmedik durumlara hazırlık yapmasının acil ihtiyacını ortaya koyuyor” dedi.
Burke, kurulun ABD’nin Siber Güvenlik İnceleme Kurulunu örnek alacağını ve “bu siber olaylardan ders almamızı ve Avustralya kuruluşlarının uygulama politikalarını ve prosedürlerini iyileştirmemizi sağlayacağını” ekledi.