近日,澳大利亚正式实施一项具有里程碑意义的网络安全法规:所有年营业额超过193万美元的企业,在遭受勒索软件攻击并支付赎金后,必须向政府报告具体时间和金额。这一举措使澳大利亚成为全球首个对勒索软件支付实行强制披露制度的国家。
但这项政策真的能遏制勒索软件攻击频发的问题吗?还是反而可能让受害者企业陷入“双重打击”?
📢 新规出台:谁需要报告?如何处罚?
根据新规定:
- 仅适用于年营业额超过 193万美元(约合270万澳元) 的大型企业;
- 这些企业需向 澳大利亚信号局(ASD) 报告所有因勒索软件攻击而进行的付款;
- 若未按规定报告,将面临依据《澳大利亚民事处罚制度》的罚款。
该法律旨在提高透明度,帮助政府更全面地掌握勒索软件攻击的规模和趋势。此前,数据显示只有不到 20% 的受害企业主动报告攻击事件,这使得执法机构难以追踪网络犯罪活动。
⚖️ 政府态度:从自愿到强制
澳大利亚政府表示,此举是对过去“自愿披露机制”失败的回应。尽管已有部分企业愿意配合调查,但整体上报率仍然偏低。
新政策采用 两阶段监管策略:
- 初期阶段:优先处理重大案件,同时与受害者保持“建设性沟通”,避免过度施压;
- 下一阶段(2025年起):加强对不合规企业的追责力度,推动全面合规。
政府希望借此建立一个更完整的勒索软件攻击数据库,为未来制定更有效的反制措施提供依据。
💡 专家观点:双刃剑效应
然而,网络安全专家对这一政策的实际效果持保留态度。
网络安全公司 Semperis 的事件响应总监 Jeff Wichman 表示:“强制报告虽然有助于政府收集数据,但并不能直接减少攻击数量。”
他指出,很多企业在遭遇攻击时会选择“快速解决问题”,而非第一时间考虑是否合规:
“一些公司只是想支付赎金以恢复运营,另一些则希望通过谈判争取时间,同时评估损失。”
Semperis 的研究还显示,在遭受勒索软件攻击的企业中,超过70%最终选择支付赎金。其中,约60%的企业成功获得解密密钥并恢复数据,但仍有40%的密钥存在损坏或无效问题。
这意味着,即便企业愿意合作,也未必能真正解决问题。
🧱 面临挑战:公开羞辱 vs 网络犯罪获利
批评者担忧,强制报告制度可能会导致被攻击企业面临公众舆论压力,甚至损害其商业信誉。这种“公开羞辱”的风险,可能进一步加剧企业在面对攻击时的犹豫与隐瞒行为。
另一方面,网络犯罪分子似乎并未因此止步。尽管各国执法部门近年来加大了对知名黑客组织的打击力度,但勒索软件攻击的数量仍在不断刷新历史纪录。
澳大利亚此次立法虽具开创性,但要真正起到震慑作用,仍需配套更强有力的技术防御、企业教育和国际合作。
评论