Австралийското правителство заяви, че обмисля въвеждането на законодателство, което да забрани на компаниите да плащат искания за откуп, поставени от хакери при атаки с рансъмуер.

В интервю за австралийската телевизия ABC министърът на вътрешните работи Клеър О’Нийл заяви, че има „някои наистина големи политически въпроси, по които ще трябва да помислим и да се консултираме, и ще направим това в контекста на стратегията за киберсигурност“.

На директен въпрос дали правителството може да се опита да забрани на компаниите да предоставят на хакерските групи плащания на откупи, О’Нийл отговори: „Така е правилно“.

Коментарите на О’Нийл идват след поредица от високопрофилни кибератаки срещу австралийски предприятия от частния сектор, в резултат на които бяха разкрити данните на милиони граждани на страната.

Medibank (най-голямата компания за здравно осигуряване и застраховане) е последната от осемте известни австралийски фирми, които бяха засегнати от атаки с цел получаване на откуп, след като на 19 октомври разкри, че е била ударена от кибератака, за която се смята, че е засегнала 9,7 милиона бивши и настоящи клиенти.

Сред другите атаки е тази срещу телекомуникационния гигант Optus, която засяга 10 милиона австралийци, и срещу услуга, използвана от австралийското министерство на отбраната.

Отговорност за атаката срещу Medibank е поела групата REvil ransomware, която публикува в блога си откраднати данни на множество етапи. На 13 ноември бяха публикувани записи, принадлежащи на още 500 клиенти на Medibank, включително техните имена, адреси, имейл адреси и уникални клиентски номера.

В публикация в блога REvil групата се подиграва на Medibank, като заявява: „Предупредихме ви, винаги държим на думата си, ако не получим откуп – трябва да публикуваме тези данни, защото никой няма да ни повярва в бъдеще.“ В същия пост беше обявено, че следващата порция данни ще бъде публикувана в петък.

Когато за първи път съобщи за атаката, Medibank посочи, че преговаря с хакерите, стоящи зад атаката, като същевременно се опитва да установи дали данните са били откраднати.

След като установи мащаба на нарушението обаче, фирмата отказа да плати откуп на групата, стояща зад атаката, като заяви, че според експерти по киберсигурност е малко вероятно бандата да остане вярна на думата си и да върне непубликуваните данни.

Групата REvil отдавна представлява заплаха за бизнеса и е заявявала атаки срещу Kaseya, както и атаката срещу Midea Group през август. През ноември 2021г. тя беше обект на поредица от масови арести, извършени от Министерството на правосъдието на САЩ, Интерпол, Европол и властите от Румъния заедно с още 17 държави, след което дейността ѝ привидно спря, преди да се възобнови в средата на 2022г.

Заедно с медицинските данни, които заплашва да продължи да публикува, REvil твърди, че има достъп до „изходни кодове, списък с неща и някои файлове, получени от файловата система на Медибанк от различни хостове“. Смята се, че наред с клиентите на Медибанк атаката е засегнала и клиентите на дъщерното дружество на Медибанк – Ахм, както и редица международни клиенти.

Какви действия може да предприеме австралийското правителство?

„Нарушаването на сигурността на Medibank завладя Австралия, така че не е изненадващо, че правителството анализира как да се справя с киберинцидентите занапред, но изолираните реакции „на колене“ само ще влошат проблема“, казва Джордан Шрьодер, управляващ CISO в службата за сигурност Barrier Networks.

„Забраната на плащанията на откупи ще направи атаките срещу австралийски организации по-малко привлекателни за киберпрестъпниците, но няма да ги спре напълно. Атаките все още ще се случват и в тези ситуации компаниите няма да имат абсолютно никакъв шанс за възстановяване, което потенциално ще струва повече от искания откуп. Освен това превръщането на плащанията на откупи в незаконни в една юрисдикция би могло да изтласка плащанията на откупи в нелегалност, което ще скрие тези престъпления и ще затрудни координираните реакции с правоприлагащите органи, или дори би могло да принуди компаниите да използват трети страни в други юрисдикции, за да извършват плащания от тяхно име, което няма да реши проблема.“- добавя Шрьодер.

„В момента австралийското правителство би могло да се съсредоточи по-добре върху осигуряването на по-добра защита на организациите срещу ransomware. Това би включвало повишаване на осведомеността относно техниките за киберпрестъпления и въвеждане на законодателство относно минималните изисквания за киберсигурност за предприятията.“

Вследствие на атаките австралийското правителство сформира и работна група, съставена от служители на АФП и на Австралийската дирекция за сигнали (ASD) – федералната агенция, която отговаря за прихващането и извличането на информация от чуждестранни електронни съобщения. Тя ще осъществява постоянен лов на киберпрестъпници.

Освен това максималният размер на наказанието за нарушаване на сигурността на данните ще бъде увеличен за повторни или сериозни нарушения на неприкосновеността на личния живот в Австралия. Досегашният таван от 2,2 млн. австралийски долара ще нарасне до най-големия размер от 50 млн. австралийски долара (AUD), три пъти стойността на ползите, получени чрез неправомерно използване на данни, или 30% от коригирания оборот на обвиненото дружество за определен период.

Нарушенията на сигурността на данните трябва да се предотвратяват като нещо обичайно в рамките на компаниите в резултат на подходящи политики и процедури за защита на данните, а не просто за да се избегнат глоби. В допълнение към правните и етичните последици от неправилното боравене с данни, обработката или унищожаването им, компаниите, които се занимават с лоши практики, ще понесат големи щети на репутацията си.