Ransomware đang trở thành mối đe dọa an ninh mạng hàng đầu tại nhiều quốc gia, và Úc vừa tạo nên bước ngoặt lớn khi trở thành nước đầu tiên trên thế giới áp dụng quy định bắt buộc các doanh nghiệp công bố việc thanh toán tiền chuộc cho hacker. Đạo luật này là một phần quan trọng trong Đạo luật An ninh mạng 2024, chính thức có hiệu lực từ ngày 30/5/2025, được kỳ vọng sẽ thay đổi cách thức quản lý, phòng chống tội phạm mạng và nâng cao mức độ minh bạch trong cộng đồng doanh nghiệp.
Quy định công bố thanh toán Ransomware: Ai phải thực hiện và báo cáo những gì?
Theo quy định mới, mọi doanh nghiệp tại Úc có doanh thu hàng năm từ 3 triệu AUD (tương đương 1,93 triệu USD) trở lên đều phải báo cáo cho Cục Tình báo Tín hiệu Úc (Australian Signals Directorate – ASD) trong vòng 72 giờ kể từ khi phát hiện hoặc thực hiện thanh toán tiền chuộc cho các nhóm tội phạm mạng. Báo cáo này phải cung cấp đầy đủ các thông tin như: số tiền chuộc bị yêu cầu và đã thanh toán, phương thức thanh toán, chi tiết về thời gian và nội dung liên lạc với nhóm tấn công, cũng như tác động của vụ việc đối với hoạt động doanh nghiệp. Đặc biệt, các cơ quan chính phủ và tổ chức nhà nước được miễn trừ khỏi quy định này nhằm tập trung vào khối doanh nghiệp tư nhân – nhóm chiếm khoảng 6,5% tổng số doanh nghiệp nhưng đóng góp gần một nửa GDP quốc gia.
Việc không tuân thủ yêu cầu báo cáo sẽ bị xử phạt dân sự, mức phạt hiện tại lên đến 19.800 AUD (12.700 USD) cho mỗi hành vi vi phạm và có thể tăng trong tương lai. Trong giai đoạn đầu triển khai, chính phủ Úc sẽ ưu tiên xử lý các trường hợp vi phạm nghiêm trọng và duy trì đối thoại xây dựng với doanh nghiệp, trước khi áp dụng biện pháp cứng rắn hơn từ năm 2026.
Tác động thực tế: Minh bạch hơn nhưng liệu có giảm tội phạm Ransomware?
Động thái mạnh mẽ này xuất phát từ thực tế đáng báo động: chỉ 1/5 nạn nhân Ransomware tại Úc từng tự nguyện báo cáo sự cố, khiến nhà chức trách gặp khó khăn trong việc đánh giá và phản ứng với tình hình. Theo thống kê, 71% các sự cố an ninh mạng liên quan đến tống tiền mà ASD xử lý trong năm tài chính 2023-2024 đều liên quan đến Ransomware.
Tuy nhiên, giới chuyên gia vẫn còn nhiều băn khoăn về hiệu quả thực chất của quy định mới. Ông Jeff Wichman – Giám đốc phản ứng sự cố tại công ty an ninh mạng Semperis – nhận định, quy định bắt buộc công bố vừa giúp chính phủ thu thập dữ liệu quý giá về các nhóm tấn công, nhưng đồng thời có thể vô tình làm tăng áp lực và gây xấu hổ công khai cho doanh nghiệp bị tấn công, trong khi chưa chắc đã làm giảm số lượng vụ việc. Một nghiên cứu của Semperis cho thấy, có tới 70% doanh nghiệp bị tấn công đã chọn trả tiền chuộc, nhưng chỉ 60% trong số đó nhận được khóa giải mã hoạt động và khôi phục được dữ liệu. 40% còn lại hoặc không nhận được gì, hoặc khóa giải mã bị lỗi, làm thiệt hại càng thêm nặng nề.
Dù vậy, chính phủ Úc khẳng định, việc bắt buộc công bố sẽ giúp họ hiểu rõ hơn về quy mô, phương thức và tác động của các vụ tấn công Ransomware, từ đó xây dựng biện pháp phòng ngừa và hỗ trợ doanh nghiệp hiệu quả hơn. Đồng thời, việc này cũng tạo tiền lệ cho các quốc gia khác trên thế giới đang cân nhắc áp dụng chính sách tương tự, góp phần gia tăng chuẩn mực minh bạch và trách nhiệm trong lĩnh vực an ninh mạng toàn cầu.
Tóm lại: Úc đã tiên phong trong cuộc chiến chống Ransomware bằng cách áp dụng quy định bắt buộc công bố thanh toán tiền chuộc, nhắm đến các doanh nghiệp lớn – nhóm mục tiêu thường xuyên của các nhóm tội phạm mạng. Mặc dù còn nhiều ý kiến trái chiều về tác động thực tế, bước đi này khẳng định quyết tâm của chính phủ Úc trong việc tăng cường minh bạch, quản trị rủi ro và bảo vệ nền kinh tế số. Đây cũng là bài học tham khảo quan trọng cho các quốc gia khác khi đối mặt với làn sóng tội phạm mạng ngày càng tinh vi và phức tạp.
