Las empresas australianas pronto podrían verse obligadas a revelar al gobierno los rescates que pagan a los perpetradores de ransomware.
No hace mucho, el gobierno australiano estaba considerando una prohibición de pagar rescates A través del país. Esta idea no sobrevivió, pero se propuso una regla ligeramente más flexible en un documento de estrategia nacional de ciberseguridad publicado el pasado mes de noviembre. En una sola frase enterrada en lo más profundo de este documento, el gobierno señaló su intención: “Para adelantarnos a la amenaza, diseñaremos conjuntamente con la industria opciones para legislar la obligación de informar sobre ransomware sin culpa ni responsabilidad para las empresas. »
Esta obligación parece ser parte de la futura ley de ciberseguridad del país, que se espera sea presentada al Parlamento en su próxima sesión dentro de unas semanas.
Tras una entrevista con Clare O’Neil, que hasta el lunes era ministra del Interior de Australia, la Australian Broadcasting Corporation (ABC) informó que las empresas que obtengan más de 3 millones de dólares australianos (1,96 millones de dólares estadounidenses) en ingresos anuales serán obligados a informar de sus pagos de rescate. Sin embargo, las multas por incumplimiento serían sólo de 15.000 dólares.
Dark Reading se ha puesto en contacto con el Departamento del Interior de Australia para confirmar la información sobre la nueva regla.
«El objetivo de estas leyes es permitir que los gobiernos obtengan información sobre los fondos destinados a malos actores, para que puedan rastrear estos pagos y, con suerte, llevar a los delincuentes ante la justicia», dice Beth Burgin Waller, presidenta del departamento de Ciberseguridad y Privacidad de Datos de Woods Rogers. Vandeventer Negro (WRVB).
En el caso de Australia, «el proyecto de ley propuesto parece reflejar lo que estamos viendo en Estados Unidos CIRCIE (la Ley de notificación de incidentes cibernéticos de infraestructura crítica de 2022), que exige que las entidades cubiertas informen los pagos de rescate a CISA dentro de las 24 horas posteriores al pago de un rescate”, explica. «Sin embargo, la ley australiana propuesta es más amplia en lo que parece. aplicarse a cualquier empresa que realice un pago de rescate, mientras que parece que CIRCIA sólo cubre «entidades cubiertas», como se define ampliamente en la propuesta de reglamento de CIRCIA actualmente.
¿Es eficaz la divulgación forzosa del rescate?
Australia se ha visto sacudida por importantes ataques cibernéticos en los últimos años. En 2022, un violación de millones de registros de consumidores golpeó a la empresa de telecomunicaciones Optus. Poco después, un caso de alcance similar golpeó al proveedor de seguros de salud Medibank. El año pasado, una disrupción cibernética cuatro puertos principales fallaron por todo el país durante un fin de semana. Y hubo otros.
El costo para la economía australiana es considerable. Como destacó el ex ministro O’Neil en el prólogo de la Estrategia de seguridad cibernética de Australia 2023-2030, cada seis minutos se informa al gobierno de un incidente cibernético. (Bien entendu, cela n’inclut pas tous les incidents qui ne sont pas signalés.) Les ransomwares, quant à eux, sont responsables de 3 milliards de dollars de dommages pour les entreprises australiennes chaque année, et les coûts des cyberattaques augmentent de 14 % anualmente.
Las reglas estrictas que ayudan a limitar el problema inevitablemente tienen diferentes efectos en diferentes organizaciones. Por un lado, están las grandes empresas, que pueden soportar los costes implicados y las que más se beneficiarán de una regulación más clara.
«La aparición de leyes como ésta a nivel local en todo el mundo crea un mosaico de cumplimiento para las organizaciones multinacionales con quizás una sede en los Estados Unidos pero operaciones importantes en Australia», dice Waller.
Mientras tanto, las pequeñas empresas tienen menos recursos para dedicar a la ciberseguridad y menos dinero para pagar multas cuando no cumplen con los estándares. Según ABC, la Cámara Australiana de Comercio e Industria (ACCI) apoya partes de la futura ley de ciberseguridad, pero propone que el umbral mínimo de ingresos para las empresas cubiertas por la norma de presentación de informes sea de 10 millones de dólares.
Impulso al fortalecimiento de las ciberdefensas
De todos modos, la esperanza es que cualquier efecto secundario negativo se vea compensado por una mayor visibilidad para las fuerzas del orden y incentivos más efectivos para que las empresas mejoren.
«Las divulgaciones obligatorias pueden incitar a las empresas a reevaluar sus prácticas cuando tratan con ciberdelincuentes», afirma Anne Cutler, especialista en ciberseguridad de Keeper Security. «Sabiendo que deben revelar cualquier pago de rescate, se puede persuadir a los líderes empresariales para que inviertan más en medidas preventivas y planes sólidos de respuesta a incidentes para evitar el escrutinio financiero y el daño a la reputación que acompañan a la divulgación pública». »