- Australia bakal perketat aturan keamanan siber.
- Aturan baru bakal bikin perusahaan ngeluarin duit lebih buat keamanan siber.
pibitek.biz -"Dengan mengetahui bahwa mereka harus ngelaporin semua pembayaran tebusan, para pemimpin bisnis mungkin bakal terdorong buat investasi lebih besar di langkah-langkah pencegahan dan rencana respons insiden yang kuat buat ngehindarin sorotan finansial dan reputasional yang muncul dari pengumuman publik", katanya.
2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 2 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
3 – Ransomware BianLian Serang Rumah Sakit Anak Boston 3 – Ransomware BianLian Serang Rumah Sakit Anak Boston
Australia lagi ngerumpi soal keamanan siber nih. Perusahaan-perusahaan di Australia bakal diminta buat ngasih tahu pemerintah kalau mereka ngeluarin duit buat tebusan ransomware. Dulu sih, pemerintah Australia ngerencanain buat ngelarang total pembayaran tebusan ransomware di seluruh negeri. Tapi ide itu kayaknya udah ditinggalin, dan diganti dengan aturan yang lebih kalem. Aturan ini muncul di dokumen strategi keamanan siber nasional yang dirilis bulan November lalu. Di dokumen itu, pemerintah ngasih sinyal kalau mereka mau bikin aturan baru yang mengharuskan perusahaan buat ngelaporin pembayaran tebusan ransomware tanpa harus ngasih penjelasan panjang lebar.
Aturan baru itu bakal masuk ke dalam Undang-Undang Keamanan Siber Australia yang rencananya bakal dibahas di parlemen dalam waktu dekat. Perusahaan dengan omzet tahunan lebih dari 3 juta dollar Australia (sekitar 1,96 juta dollar AS) bakal dipaksa buat ngelaporin pembayaran tebusan mereka. "Tujuannya sih biar pemerintah bisa ngelacak aliran dana ke para pelaku kejahatan siber, dan mudah-mudahan bisa nyeret mereka ke pengadilan", jelas Beth Burgin Waller, ketua praktik Keamanan Siber & Privasi Data di Woods Rogers Vandeventer Black (WRVB). "Undang-undang yang diusulkan di Australia ini mirip banget dengan CIRCIA (Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis Tahun 2022) di Amerika Serikat, yang mewajibkan entitas yang dicakup untuk melaporkan pembayaran tebusan dalam waktu 24 jam setelah melakukan pembayaran ke CISA", jelasnya. "Tapi aturan di Australia lebih luas lagi, karena kayaknya berlaku buat semua bisnis yang ngeluarin duit tebusan, sementara CIRCIA cuma buat 'entitas yang dicakup,' yang definisinya lumayan broad di peraturan CIRCIA yang diusulkan sekarang". Australia sendiri udah diguncang beberapa serangan siber besar dalam beberapa tahun terakhir.
Tahun 2022, data jutaan pelanggan perusahaan telekomunikasi Optus dibobol. Gak lama kemudian, kejadian serupa menimpa penyedia asuransi kesehatan Medibank. Tahun lalu, ada serangan siber yang ngelumpuhkan empat pelabuhan utama di seluruh negeri selama satu akhir pekan. Dampaknya ke ekonomi Australia cukup besar. Mantan menteri O'Neil ngasih tahu di bagian awal Strategi Keamanan Siber Australia 2023-2030, bahwa pemerintah nerima laporan serangan siber setiap enam menit. (Tentu aja, itu belum termasuk semua serangan yang gak dilaporkan).
Ransomware sendiri bikin kerugian sekitar 3 miliar dollar buat organisasi-organisasi di Australia setiap tahun, dan biaya serangan siber naik 14% per tahun. Setiap peraturan pasti ngaruhnya beda-beda ke setiap organisasi. Perusahaan besar sih biasanya punya duit buat nutupin biaya-biaya yang muncul dan bisa dapet keuntungan dari peraturan yang lebih jelas. "Munculnya peraturan-peraturan kayak gini di seluruh dunia ngebuat organisasi multinasional pusing tujuh keliling, karena mereka punya kantor pusat di Amerika Serikat tapi juga punya operasi besar di Australia", kata Waller.
Organisasi-organisasi kecil biasanya punya sumber daya yang lebih terbatas buat ngeurus keamanan siber, dan juga duit yang lebih sedikit buat bayar denda kalau mereka kena tilang. Menurut Australian Broadcasting Company (ABC), organisasi perdagangan Australian Chamber of Commerce and Industry (ACCI) mendukung sebagian isi Undang-Undang Keamanan Siber yang akan datang, tapi ngusulin supaya batas minimum pendapatan buat bisnis yang kena aturan pelaporan itu dinaikin jadi 10 juta dollar. ABC juga ngasih tahu kalau denda buat yang melanggar aturan cuma 15.000 dollar.
Harapannya sih, efek negatif dari aturan ini bakal kalah sama dua keuntungan utama. Pertama, pemerintah jadi punya visibilitas yang lebih bagus soal kejahatan siber. "Keterbatasan visibilitas ancaman ransomware dan pemerasan siber secara keseluruhan ngehambat kemampuan pemerintah dan sektor swasta buat ngebantu organisasi-organisasi di Australia buat siap menghadapi dan merespons serangan ransomware atau pemerasan siber", kata juru bicara Departemen Dalam Negeri Australia dalam pernyataan yang diberikan ke Dark Reading. "Pelaporan tepat waktu soal insiden ransomware dan pemerasan siber diperlukan buat ngebuat strategi mitigasi dan kesiapsiagaan di seluruh ekonomi, dan buat ngebantu ngarain layanan dukungan korban. Hal ini pada akhirnya bakal ngebantu keamanan kolektif kita dan nguatin pertahanan kita dari serangan siber di masa depan". Keuntungan kedua: perusahaan jadi punya insentif yang lebih kuat buat ngebenerin diri mereka sendiri. "Kewajiban pengumuman bisa ngebuat perusahaan ngerubah cara mereka bernegosiasi dengan penjahat siber", kata Anne Cutler, penggiat keamanan siber di Keeper Security.
