Австралийските компании може скоро да се наложи да разкриват пред правителството всички плащания на откупи, които са предали на нападатели с ransomware.
Не беше толкова отдавна, когато австралийското правителство обмисляше пълна забрана на плащанията на откупи в цялата страна. Тази идея не оцеля, но малко по-меко правило беше предложено в документа за национална стратегия за киберсигурност, публикуван през ноември миналата година. Само в едно изречение, заровено дълбоко в този документ, правителството сигнализира за намерението си: „За да изпреварим заплахата, ще разработим съвместно с индустрията варианти за законодателно уреждане на задължение за предприятията да докладват за откупи без вина и отговорност.“
Това задължение изглежда ще бъде част от предстоящия Закон за киберсигурността на страната, който се очаква да бъде внесен в парламента по време на следващото му заседание само след няколко седмици.
След интервю на Клеър О’Нийл – която до понеделник беше министър на вътрешните работи на Австралия – Австралийската радиотелевизионна корпорация (ABC) съобщи, че предприятията с годишни приходи над 3 млн. австралийски долара (1,96 млн. щатски долара) ще бъдат принудени да докладват за плащанията си на откупи. Въпреки това се твърди, че глобите за неспазване на изискванията са само 15 000 USD.
Dark Reading се свърза с Министерството на вътрешните работи на Австралия, за да потвърди съобщенията за новото правило.
„Целта на подобни закони е да се позволи на правителствата да имат поглед върху средствата, които отиват при лоши играчи, за да могат да проследяват тези плащания и да се надяваме, че ще изправят престъпниците пред правосъдието“, обяснява Бет Бъргин Уолър, председател на практиката по киберсигурност и поверителност на данните в Woods Rogers Vandeventer Black (WRVB).
В случая с Австралия „Предложеният законопроект изглежда отразява това, което виждаме в САЩ от CIRCIA (Закон за докладване на кибернетични инциденти за критичната инфраструктура от 2022 г.), който изисква от обхванатите субекти да докладват за плащанията на откупи в рамките на 24 часа след извършване на плащане на откуп към CISA“, обяснява тя. „Предложеният австралийски закон обаче е по-широк в смисъл, че изглежда се отнася за всяко предприятие, което извършва плащане на откуп, докато изглежда, че CIRCIA обхваща само „обхванатите субекти“, които настоящите предложени разпоредби на CIRCIA определят широко.“
През последните години Австралия беше разтърсена от няколко големи кибератаки. През 2022 г. нарушение на сигурността на милиони потребителски записи засегна телекомуникационната компания Optus. Малко след това случай със сходен обхват засегна доставчика на здравно осигуряване Medibank. Миналата година кибернетично смущение доведе до спиране на работата на четири основни пристанища в страната за един уикенд. Имаше и други случаи.
Щетите за австралийската икономика са значителни. Както отбелязва бившият министър О’Нийл в предговора към Австралийската стратегия за киберсигурност за периода 2023-2030 г., на всеки шест минути правителството получава информация за киберинцидент (Разбира се, това не включва всички инциденти, които не се докладват.) Междувременно рансъмуерът е отговорен за щети на австралийските организации на стойност 3 млрд. долара годишно, а разходите за кибератаки нарастват с 14 % годишно.
Всички твърди и бързи правила, които помагат за ограничаване на проблема, неизбежно засягат различните организации по различен начин. От една страна, има по-големи компании, които могат да се справят с разходите и да извлекат най-голяма полза от по-ясните правила.
„Тъй като подобни закони се появяват на местно ниво по целия свят, това създава мозаечно одеяло на съответствието за мултинационални организации, които може би имат централа в САЩ, но значителни операции в Австралия“, казва Уолър.
В същото време по-малките организации разполагат с по-малко ресурси, които да отделят за киберсигурност, и с по-малко средства, за да плащат глоби, когато не успеят да се справят. Според ABC търговската организация Австралийска търговска и индустриална камара (ACCI) подкрепя части от предстоящия Закон за киберсигурността, но предлага минималният праг на приходите за предприятията, засегнати от правилото за докладване, да бъде 10 млн. долара.
Независимо от това надеждата е, че всички потенциални отрицателни странични ефекти ще бъдат компенсирани от по-голямата видимост за правоприлагащите органи и от по-ефективните стимули за компаниите да се подобрят.
„Задължителното разкриване на информация може да подтикне към преоценка на корпоративните практики по отношение на преговорите с киберпрестъпниците“, казва Ан Кътлър, евангелист по киберсигурност в Keeper Security. „Със съзнанието, че трябва да оповестят всички плащания на откупи, бизнес лидерите може да бъдат убедени да инвестират повече в превантивни мерки и стабилни планове за реакция при инциденти, за да избегнат финансовия и репутационен контрол, който идва с публичното оповестяване.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
