Австралия обязывает крупные компании сообщать о случаях выплат выкупа кибер-вымогателям

Эта обязанность зафиксирована в законе «Cyber Security Bill 2024» , который вступил в силу 30 мая.

Вводимые правила касаются всех бизнесов с годовым оборотом свыше 3 миллионов австралийских долларов — примерно 1,92 миллиона американских долларов или 150 миллионов рублей. Им даётся 72 часа на то, чтобы проинформировать Австралийское управление связи (ASD) о факте перевода денег злоумышленникам. Сами выплаты под запрет не подпадают, однако власти подчёркивают, что такие действия официально не рекомендуются.

В отчёте ASD за прошлый год фигурирует всего 121 расследование подобных инцидентов , когда как реальных атак было гораздо больше. Именно поэтому власти рассчитывают на новую отчётность.

После вступления закона в силу компании получат ровно шесть месяцев на встраивание: в этот период будут преследоваться только откровенно грубые нарушения. С 2026 года обязательное уведомление будет работать в полную силу. За неисполнение вводится штраф в размере 19 800 австралийских долларов (1 миллион рублей), но и эта сумма может увеличиться в будущем.

От организаций теперь потребуется указывать не только свой бизнес-номер, но и детали инцидента: время атаки, была ли информация украдена или зашифрована, какие уязвимости использовали злоумышленники, примерные убытки, сумму и валюту выкупа.

Власти Австралии поясняют: сбор этих данных позволит лучше понять, какие семейства вымогателей чаще всего атакуют местный бизнес, и насколько масштабна проблема. Анализ статистики может повлиять на разработку будущих законодательных инициатив.

Порог для обязательной отчётности установлен достаточно высоко — по расчётам правительства, новые правила затронут менее 7% компаний страны. Однако именно эти фирмы обладают наибольшими объёмами персональных данных и представляют основной интерес для атакующих.