澳大利亚出台新规，强制要求企业报告勒索软件攻击后的赎金支付情况。新法律适用于年营业额超过193万澳元的公司，旨在深入了解勒索软件问题，并提高透明度。企业需向澳大利亚信号局（ASD）报告，违规者将面临罚款。尽管强制报告能为政府提供数据，但专家对其有效性表示担忧，认为可能无法降低攻击频率，反而可能导致企业声誉受损。研究表明，超七成受害者选择支付赎金，但仍有部分受害者无法成功恢复数据。

🛡️新规要求：澳大利亚新法律强制规定，年营业额超过193万澳元的公司在遭遇勒索软件攻击并支付赎金后，必须向澳大利亚信号局（ASD）报告支付的时间和金额。

💰处罚措施：未能正确披露勒索软件攻击事件的公司将面临根据澳大利亚民事处罚制度进行的罚款。当局将采取两阶段措施，初期侧重处理重大违法行为，并与受害者进行“建设性”对话，从明年开始，监管机构将对不合规组织采取更严格立场。

⚠️专家担忧：尽管政府希望通过强制报告了解勒索软件的严重性，但专家认为其有效性值得商榷。强制报告可能无法降低攻击频率，反而可能导致受攻击组织面临公开羞辱的风险，而网络犯罪分子仍能从中获利。

💡赎金支付与数据恢复：研究表明，在遭受勒索软件攻击的公司中，超过70%选择了支付赎金。然而，即便支付赎金，仍有40%的受害者获得的解密密钥已损坏或失效，无法成功恢复数据。

堪培拉当局正在采取强硬措施应对勒索软件威胁。一项新法律将要求某些组织在数据泄露后披露其向网络犯罪分子支付勒索金的时间和金额。然而，专家们仍然不确定这是否是解决问题的最有效方法。

在澳大利亚运营的公司现在必须报告在遭遇勒索软件事件后向网络犯罪分子支付的任何款项。政府官员希望这项新规定能帮助他们更深入地了解这一问题，因为许多企业在成为文件加密恶意软件的受害者时，仍然会支付赎金。

该法律最初于去年提出，仅适用于年营业额超过193万澳元的公司。该门槛针对的是澳大利亚注册企业中排名前6.5%的企业，约占该国经济总产出的一半。

根据新法律，受影响的公司必须向澳大利亚信号局（ASD）报告勒索软件事件。未能正确披露攻击事件将根据澳大利亚民事处罚制度被处以罚款。

据称，当局计划采取两阶段措施，首先优先处理重大违法行为，同时与受害者进行“建设性”对话。

从明年开始，监管机构将对不合规的组织采取更为严格的立场。澳大利亚政府在认定自愿披露不足后，实施了这项强制性报告要求。2024年，官员们指出，勒索软件和网络勒索事件的报告数量严重不足，只有五分之一的受害者站出来举报。

勒索软件仍然是一个高度复杂且日益严重的现象，尽管执法部门加大了对臭名昭著的网络犯罪团伙的打击力度，但攻击次数仍创下历史新高。尽管一些政府已提出类似的法规，但澳大利亚是第一个正式颁布此类法律的国家。

网络安全公司 Semperis 的事件响应总监 Jeff Wichman 警告称，强制报告是一把双刃剑。虽然政府可以获得宝贵的数据并深入了解攻击者的个人资料，但这项法律可能无法降低攻击的频率。

相反，它的主要作用可能是公开羞辱受攻击的组织，而网络犯罪分子则继续从中获利。Semperis 最近的一项研究发现，在 1000 家遭受勒索软件攻击的公司中，超过 70% 的公司选择支付赎金，并期待最终结果。

“有些公司只想付钱，然后把数据从暗网上撤下来。而有些公司则希望延迟响应，希望在弄清楚发生了什么事情的同时与攻击者进行谈判，”Wichman 解释道。

研究显示，60% 的付费受害者获得了可用的解密密钥并成功恢复了数据。然而，40% 的受害者提供的密钥已损坏或失效。