澳洲政府颁发命令,要求从5月30日起,遭勒索软体或网路勒索的企业,应在支付赎金72小时内通报政府,包括资安事件及支付金额。
这项名为《网路安全(勒索软体支付通报)规定2025(Cyber Security (Ransomware Payment Reporting) Rules 2025)》的法规,是澳洲网路安全法(Cyber Security Act, 2024)的一部份,于今年3月公布,并在5月30日正式生效。澳洲政府预计从2026年1月1日起启动遵循和执法措施,并在今年12月底前的6个月宣导推广期及汇整各方意见。
根据新规定,前一会计年度营业额在300万澳币以上的企业,为本法涵盖的对象。
受到勒索软体或骇客勒索的企业要在支付赎金的72小时之内通报主管机关。通报内容包含事件发生时间、获知时间、对公司基础架构和客户的影响,攻击者用的勒索软体或恶意程式、遭到滥用的漏洞,与其他可协助澳洲政府缓解或防止事件的资讯。此外,澳洲政府也要求企业必须通报和骇客组织联络时间或谈判概要、支付赎款的金额、支付方法。
这些企业需以线上表格通报澳洲讯号局(Australian Signals Directorate)。澳洲政府强调通报资讯只会用于协助防止、回应或减轻勒索攻击的伤害。
澳洲之外,2025年1月英国也发布三项草案,禁止所有公共部门机构(包括国民医疗服务体系、学校和大学)以及关键国家基础设施的所有者/运营商支付勒索软体赎金、防止私人企业支付勒索软体赎金,并推动勒索软体事件强制通报。