ประเทศออสเตรเลียได้ริเริ่มกฎระเบียบใหม่ว่าด้วยการเปิดเผยข้อมูลการจ่ายค่าไถ่จากแรนซัมแวร์ (ransomware) ซึ่งจะบังคับใช้กับองค์กรที่มีรายได้ต่อปีตั้งแต่ 3 ล้านดอลลาร์ออสเตรเลีย (ประมาณ 64 ล้านบาท) ขึ้นไป โดยกำหนดให้องค์กรเหล่านี้ต้องรายงานเกี่ยวกับการจ่ายเงินค่าไถ่ และข้อมูลที่เกี่ยวข้องกับการสื่อสารกับกลุ่มแรนซัมแวร์ ภายใน 72 ชั่วโมงหลังจากเกิดเหตุการณ์ขึ้น หากฝ่าฝืนอาจต้องรับโทษทางแพ่ง
ซึ่งกฎใหม่นี้เป็นส่วนหนึ่งของความพยายามของออสเตรเลียในการยกระดับความมั่นคงทางไซเบอร์ และตั้งเป้าที่จะเป็นผู้นำด้านไซเบอร์ภายในปี 2030
ตามข้อกำหนดองค์กรที่ได้รับผลกระทบจะต้องรายงานข้อมูลสำคัญไปยัง Australian Signals Directorate (ASD) ภายใน 72 ชั่วโมง โดยข้อมูลที่ต้องรายงานประกอบด้วย ผลกระทบของเหตุการณ์ไซเบอร์ต่อโครงสร้างพื้นฐานขององค์กร, ชนิดของ ransomware หรือมัลแวร์ที่ใช้, ช่องโหว่ที่ถูกโจมตีในระบบ, และข้อมูลใด ๆ ที่เป็นประโยชน์ในการตอบสนอง บรรเทา หรือแก้ไขเหตุการณ์จากหน่วยงานภาครัฐ นอกจากนี้ รายงานยังต้องระบุจำนวนเงินค่าไถ่ที่ถูกเรียกร้องและจำนวนเงินที่จ่ายไป, วิธีการชำระเงิน, รายละเอียดการเจรจาก่อนการจ่ายเงิน, และข้อมูลอื่น ๆ เกี่ยวกับลักษณะและเวลาของการสื่อสารกับกลุ่มแรนซัมแวร์
ข้อกำหนดการรายงานการจ่ายค่าไถ่ที่บังคับใช้นี้ถือเป็นแห่งแรกของโลก การไม่ปฏิบัติตามอาจส่งผลให้องค์กรต้องรับโทษทางแพ่ง แต่ข้อกำหนดนี้ไม่ได้ครอบคลุมถึงองค์กรภาครัฐ การเปลี่ยนแปลงครั้งนี้เป็นส่วนหนึ่งของแผนยุทธศาสตร์ของออสเตรเลียในการยกระดับเป็นผู้นำด้านความมั่นคงไซเบอร์ภายในปี 2030 โดยมีพื้นฐานจากร่างกฎหมาย Cyber Security Bill 2024 ที่เสนอเข้าสู่สภาเมื่อปีก่อน และเรียกร้องให้มีการจัดตั้งคณะกรรมการทบทวนเหตุการณ์ไซเบอร์สำคัญ เพื่อเสริมสร้างความเข้มแข็งในการตอบสนองต่อภัยคุกคามไซเบอร์ที่เพิ่มขึ้นอย่างต่อเนื่องในระดับประเทศ
แหล่งข่าว https://www.darkreading.com/threat-intelligence/australia-ransomware-payment-disclosure-rules
ที่มา : thaicert / วันที่เผยแพร่ 4 มิถุนายน 2568
Link : https://www.thaicert.or.th/2025/06/04/ออสเตรเลียออกกฎใหม่-องค/
