Notificación de infracciones, gestión de fraude y delitos cibernéticos, enfoque geográfico: el proyecto de ley cibernético de Asia dice que el gobierno no puede utilizar la información para procesar a las víctimas Jayant Chakravarti (@JayJay_Tech) • 9 de octubre de 2024 Casa del Parlamento en Capital Hill en Canberra, Australia (Imagen: Shutterstock) Rescate Los pagos suelen ser secretos muy guardados entre los ciberdelincuentes y sus víctimas, pero el gobierno australiano ha presentado un proyecto de ley de ciberseguridad en el Parlamento que exigiría que las empresas más grandes informen sobre los pagos de rescate al gobierno. Ver también: Condición crítica: cómo Qilin Ransomware pone en peligro la atención médica El proyecto de ley de seguridad cibernética 2024, presentado en la Cámara de Representantes el miércoles, exige que ciertas empresas informen sobre los pagos de rescate y una obligación de «uso limitado» para las agencias de investigación de delitos cibernéticos para evitar la divulgación de información y daños a la reputación. a las organizaciones de víctimas. Los requisitos de presentación de informes se basarán en el tamaño de la empresa, con un umbral mínimo que será determinado por el gobierno. Además del monto del pago del rescate, las empresas deberían revelar si otra entidad realizó el pago, el impacto del ataque en la empresa, la demanda de extorsión original y cualquier “comunicación con la entidad extorsionadora relacionada con el incidente, la demanda y el pago”. El gobierno dijo que hasta ahora las organizaciones han tenido la oportunidad de revelar los pagos de rescate de forma voluntaria, pero sólo una de cada cinco organizaciones comparte la información. «Como resultado, el gobierno carece de visibilidad del impacto económico y social del ransomware en Australia», dijo el gobierno en un memorando explicativo adjunto al proyecto de ley. El Departamento del Interior dijo que la legislación propuesta es parte de un «paquete legislativo de ciberseguridad» integral, que también incluye estándares mínimos de seguridad para dispositivos conectados y establece una junta de revisión de incidentes cibernéticos. El paquete también reformaría la Ley de Seguridad de Infraestructura Crítica de 2018 al simplificar el intercambio de información entre la industria y el gobierno, mejorar la asistencia gubernamental para responder a incidentes cibernéticos dirigidos a infraestructura crítica y aclarar las reglas existentes para mantener datos críticos para el negocio. La presentación del proyecto de ley sigue a un largo proceso de consulta que el gobierno inició en diciembre para obtener comentarios sobre los planes para alinear las leyes y regulaciones de ciberseguridad del país con la Estrategia Australiana de Seguridad Cibernética, que busca hacer de Australia la nación más segura del mundo para 2030. El documento de consulta también recomendó que las empresas más grandes informen sobre los pagos de ransomware y extorsión cibernética al Coordinador Nacional de Seguridad Cibernética o a la Dirección de Señales de Australia dentro de las 72 horas posteriores a la realización del pago. No informar los pagos de rescate podría dar lugar a una multa civil, pero el proyecto de ley de seguridad cibernética también impone una “obligación de uso limitado” al Coordinador Nacional de Seguridad Cibernética y a la Dirección de Señales de Australia para garantizar que las organizaciones víctimas no enfrenten acciones legales o sanciones regulatorias. por la información que comparten con las agencias de investigación. La obligación de uso limitado garantizará que el Coordinador Nacional de Seguridad Cibernética podrá utilizar la información únicamente con el fin de responder a un incidente de seguridad cibernética. Incluso si la información se comparte con los gobiernos provinciales u otras agencias, no se puede utilizar para procesar a la entidad informante. El proyecto de ley también busca establecer una Junta de Revisión de Incidentes Cibernéticos similar a la Junta de Revisión de Seguridad Cibernética en los EE. UU. que revise periódicamente incidentes importantes de ciberseguridad y emita conclusiones públicas. URL de la publicación original: https://www.databreachtoday.com/australia-may-require-businesses-to-report-ransom-paids-a-26496