Avustralya, şirketlerin siber saldırganlara yaptığı fidye yazılımı ödemelerini hükümete bildirmesini zorunlu kılan bir yasayı yürürlüğe koymaya hazırlanıyor. Eğer tasarı yasalaşırsa dünyada bu konuda atılmış ilk adım olacak. Avustralya Federal Parlamentosu’na sunulan “Siber Güvenlik Yasası 2024” tasarısı, ülkenin siber güvenlik gündeminde önemli bir dönüm noktası olarak değerlendiriliyor.
Tasarı, son yıllarda Optus, Medibank ve MediSecure gibi büyük firmaların yaşadığı yüksek profilli siber saldırılar sonrası hız kazanan ulusal siber güvenlik stratejisinin bir parçası olarak sunuldu. Kasım 2023’te açıklanan strateji, önümüzdeki yedi yıl içinde 587 milyon Avustralya doları (yaklaşık 382 milyon ABD doları) bütçeyle uygulanacak ve her yıl 3 milyar Avustralya doları (yaklaşık 1.9 milyar ABD doları) zararın önlenmesini hedefliyor.
Kolay Erişim
Zorunlu Bildirim: Eşi Benzeri Olmayan Bir Adım
Yasanın en dikkat çekici kısmı, fidye ödemeleriyle ilgili getirilen zorunlu bildirim yükümlülüğü. Tasarıya göre yıllık cirosu 3 milyon Avustralya dolarını (yaklaşık 2 milyon ABD doları) aşan şirketler, kendileri ya da adına hareket eden kişiler saldırganlara ödeme yaparsa, bunu 73 saat içinde İçişleri Bakanlığı’na bildirmekle yükümlü olacak.
Bu yükümlülüğü yerine getirmeyen kuruluşlar, 60 para cezası birimiyle — yaklaşık 18.000 Avustralya doları (yaklaşık 12.000 ABD doları) — karşı karşıya kalabilecek. Bu eşik, ülkedeki kayıtlı işletmelerin yalnızca %6.56’sını kapsasa da, toplam yıllık cironun yarısını oluşturan büyük ölçekli firmaları hedef alıyor.
Avustralya hükümeti, yasa tasarısı eşliğinde yayınladığı notta şu uyarıya yer verdi:
“Fidye yazılımları ve siber gasp saldırıları, en yıkıcı siber suç türlerinden biri olmaya devam ediyor. Bu saldırılar, Avustralya için kalıcı bir tehdit niteliğinde.”
Hükümetin açıklamasına göre, şu anda uygulanan gönüllü bildirim sistemleri yeterince kullanılmıyor ve bu da saldırıların ciddi ölçüde eksik raporlanmasına neden oluyor. Avustralya Kriminoloji Enstitüsü’nün verilerine göre fidye yazılımı saldırılarına maruz kalan her beş kurbandan yalnızca biri olayı yetkililere bildiriyor.
Siber Güvenlik Bakanı Tony Burke, parlamentoya yaptığı açıklamada şunları söyledi:
“2023 yılında fidye yazılımı saldırılarına yanıt olarak ödeme yapan Avustralyalı işletmelerin ortalama ödeme miktarı 9.27 milyon ABD doları olarak tahmin edildi. Bu sorunla artık ciddi şekilde yüzleşmemiz gerekiyor.”
“Fidye ödemelerinin zorunlu raporlanması, ne kadar para gasp edildiğine, bu ödemelerin kimlere yapıldığına ve nasıl gerçekleştiğine dair net bir tablo oluşturmamıza yardımcı olacak.”
Diğer Önlemler: Akıllı Cihaz Standartları ve Olay İnceleme Kurulu
Tasarı, sadece fidye ödemeleriyle sınırlı değil. Avrupa Birliği’nin Siber Dayanıklılık Yasası ve Birleşik Krallık’ın PSTI yasasına benzer şekilde, akıllı cihazlarda varsayılan parolaların yasaklanması dahil olmak üzere yeni güvenlik standartları da getiriliyor.
Ayrıca, hükümet ve özel sektör arasındaki bilgi paylaşımını teşvik etmek için hukuki koruma sağlanacak ve büyük ölçekli siber olayları incelemek üzere bir “Siber Olay İnceleme Kurulu” kurulacak. Bu yapı, Avrupa Birliği mevzuatında yer alan modellere benzer şekilde tasarlandı.
Yasa tasarısı, şimdi Parlamento İstihbarat ve Güvenlik Ortak Komitesi tarafından incelenmek üzere gündeme alındı.
