澳洲新法規要求付勒索軟體贖金的企業通報政府

澳洲政府頒發命令，要求從5月30日起，遭勒索軟體或網路勒索的企業，應在支付贖金72小時內通報政府，包括資安事件及支付金額。

這項名為《網路安全（勒索軟體支付通報）規定2025（Cyber Security (Ransomware Payment Reporting) Rules 2025）》的法規，是澳洲網路安全法（Cyber Security Act, 2024）的一部份，於今年3月公布，並在5月30日正式生效。澳洲政府預計從2026年1月1日起啟動遵循和執法措施，並在今年12月底前的6個月宣導推廣期及匯整各方意見。

根據新規定，前一會計年度營業額在300萬澳幣以上的企業，為本法涵蓋的對象。

受到勒索軟體或駭客勒索的企業要在支付贖金的72小時之內通報主管機關。通報內容包含事件發生時間、獲知時間、對公司基礎架構和客戶的影響，攻擊者用的勒索軟體或惡意程式、遭到濫用的漏洞，與其他可協助澳洲政府緩解或防止事件的資訊。此外，澳洲政府也要求企業必須通報和駭客組織聯絡時間或談判概要、支付贖款的金額、支付方法。

這些企業需以線上表格通報澳洲訊號局（Australian Signals Directorate）。澳洲政府強調通報資訊只會用於協助防止、回應或減輕勒索攻擊的傷害。

澳洲之外，2025年1月英國也發布三項草案，禁止所有公共部門機構（包括國民醫療服務體系、學校和大學）以及關鍵國家基礎設施的所有者/運營商支付勒索軟體贖金、防止私人企業支付勒索軟體贖金，並推動勒索軟體事件強制通報。