澳大利亚实施强制勒索赎金报告制度

若企业主、关键基础设施实体员工或政府部门/机构人员遭遇勒索软件攻击并支付赎金，须依法向澳大利亚当局报告。

年营业额达300万澳元及以上的组织，须在支付赎金后72小时内向澳大利亚信号局（ASD）报告勒索软件或网络勒索付款情况，关键基础设施相关组织同样适用此规定。报告须包含企业及联系人信息、网络安全事件全部已知细节：事件发现时间、被利用漏洞、勒索软件变种或恶意软件类型、攻击责任方、企业自身或第三方中介支付的具体金额，以及与威胁行为者的所有通信记录。

若未支付赎金则无强制报告义务。例如仅收到勒索要求但拒绝付款时，无需上报事件。

ASD强调，无论网络安全事件是否源自境外或影响海外实体，均不影响报告义务。“若受影响的报告企业（直接或间接受害）收到勒索要求并选择付款，必须提交报告”，ASD在常见问题解答（FAQ）中明确说明。

强制付款报告制度已于5月30日（周五）生效。2025年底前的初始阶段将重点开展合规宣传而非立即处罚。逾期72小时未提交赎金报告的企业将面临19,800澳元罚款。

澳大利亚成为全球首个推行强制赎金报告制度的国家。此举早有预兆——去年该国政府实体、关键基础设施和企业持续遭受国家背景黑客组织的攻击。ASD在年度网络威胁报告中指出：“这些行为体为实现国家目标开展网络行动，包括间谍活动、恶意影响、干涉胁迫，以及预置网络破坏能力。”

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；