【不准付贖金!】英國與澳洲分祭「勒索軟體」對策,切斷駭客資金鏈
在全球網路犯罪日益猖獗之際,各國政府正積極尋求更強硬的策略來打擊勒索軟體。其中,英國和澳洲近期推出的新法規,都顯示在網路安全政策上的重大轉向:從被動應對,轉為主動切斷駭客的金流。
英國:全面禁止公部門付贖金,切斷駭客資金鏈
英國政府正研擬新法,計劃全面禁止公共部門與關鍵基礎設施在遭受勒索軟體攻擊後支付贖金。這項禁令的適用對象包括地方議會、公立學校、甚至英國國民保健署(NHS)等所有公共機構與國家關鍵基礎設施。
若未納入禁令範圍的企業決定支付贖金,也必須強制通報政府,並尋求指導,確認其付款行為是否違反向「受制裁的網路犯罪集團」轉移資金的相關法律。
此舉背後有深層的國家安全考量。英國國家網路安全中心(NCSC)與國家犯罪局(NCA)長期以來都將勒索軟體視為英國最大的網路犯罪威脅,甚至上升到國家安全層級。政府期望透過直接打擊「支付誘因」,來瓦解勒索軟體的經濟模式。
這項政策的推行,是受到多起重大勒索事件的壓力所驅動,例如 2024 年 6 月英國國民保健署承包商 Synnovis 遭攻擊,導致數千萬英鎊損失;以及大英圖書館的系統癱瘓、瑪莎百貨(M&S)、合作社、哈羅德百貨等企業,接連傳出資料外洩與網路入侵。
政府也特別關切部分勒索集團與受制裁國家(如俄羅斯)的密切關聯,擔心支付贖金恐觸犯反恐資金流向的國際法規。
未來,英國將導入強制通報系統,協助執法單位追蹤攻擊來源,並建立官方協調機制,幫助企業判斷風險與合法性。
澳洲:強制通報制度,壓縮勒索產業空間
與英國的全面禁令不同,澳洲則透過《2024 年聯邦網路安全法》的第 3 部分,自 2025 年 5 月底起,要求符合條件的企業與關鍵基礎設施營運單位,若在遭遇勒索軟體攻擊後支付贖金,必須於 72 小時內通報當局。
這項制度涵蓋年營業額超過 300 萬澳元的企業與澳洲 SOCI 法案(關鍵基礎設施安全法案, Security of Critical Infrastructure Act)下的基礎設施持有者,無論付款形式為金錢、資料或其他利益,皆需揭露。未通報將面臨最高約 19,800 澳元(約 13,002 美元)罰金與聲譽損害。
澳洲的報告內容須具備事件描述、勒索方要求、實際付款紀錄及溝通內容,並透過澳洲網路安全中心線上系統提交。法案亦保障這些資訊僅用於支援應變與合法職責,不得用於民事或其他監管用途。
此舉顯示澳洲正透過強制揭露制度,壓縮勒索產業鏈的運作空間,並強化企業對網路事件的通報責任與資安治理的透明度。
「不給錢」政策能斬斷駭客金流?
這些新政策釋放了明確的訊號:英國將不再容忍任何助長駭客經濟的交易行為,試圖從「事後救火」轉向「前期阻斷」勒索產業的資金流動。這不僅挑戰了「支付贖金換回存取權」的行業慣例,也強化了資安通報與攻擊追溯的制度建構。
當「不支付贖金」或「強制通報」成為國家政策,公共機構和企業的備援能力、資安應變與資料復原機制,都將面臨更高標準與壓力。這是否能成為全球公部門治理勒索風險的新典範,仍有待觀察。
【推薦閱讀】
◆ Meta 宣布捐 100 萬給台灣研發 AI 防詐小幫手,揭在台打詐 3 戰略
◆ ChatGPT Agent 安全嗎?OpenAI 詳述 110 次紅隊測試怎麼把漏洞變防禦點
◆ 顛覆級資安風險:量子運算——迎接資安「Q-day」,企業該如何應對?
*本文開放合作夥伴轉載,參考資料:《BleepingComputer》、《MinterEllison》,首圖來源:Unsplash
(責任編輯:鄒家彥)
留言 0