Empresas que operam na Austrália estão agora obrigadas a relatar qualquer pagamento feito a cibercriminosos após sofrerem um ataque de ransomware.
Vivaldo José Breternitz (*)
A exigência tem como objetivo ampliar a compreensão sobre a real dimensão do problema, diante de um cenário em que muitas empresas optam por pagar resgates para recuperar seus dados criptografados.
A lei se aplica apenas a companhias com faturamento anual superior a 1,93 milhão de dólares australianos, cerca de 6,5% das empresas que operam no país e que são responsáveis por aproximadamente metade do PIB nacional.
A obrigatoriedade de notificação foi estabelecida após o fracasso das iniciativas baseadas em autorregulação. Em 2024, o governo australiano constatou que apenas uma em cada cinco vítimas relatava os ataques, o que dificultava qualquer esforço coordenado de prevenção e resposta.
Apesar de operações internacionais contra grupos de ransomware, os ataques continuam em alta, reforçando o caráter complexo e crescente da ameaça. Vários países discutem regulamentações similares, mas a Austrália se tornou a primeira nação a efetivamente aprovar uma lei desse tipo.
Jeff Wichman, diretor de resposta a incidentes da empresa de cibersegurança Semperis, alerta que a nova exigência é uma “faca de dois gumes”: embora o governo possa obter dados valiosos e perfis dos agressores, a lei pode não impactar diretamente a frequência dos ataques.
“Ela pode servir mais para constranger as empresas violadas, enquanto os criminosos continuam lucrando”, observa. Segundo um estudo recente da Semperis, mais de 70% das mil empresas analisadas que sofreram ataques de ransomware optaram por pagar o resgate.
Ainda segundo a pesquisa, 60% das empresas que pagaram os valores pedidos como resgate conseguiram chaves de descriptografia funcionais e recuperaram seus dados; em 40% dos casos, as chaves fornecidas estavam corrompidas ou eram ineficazes.
(*) Doutor em Ciências pela Universidade de São Paulo, é professor e consultor – [email protected].
