Bilde: Getty Images
Sekretæren for innenriksdepartementet, Mike Pezzullo, har uttalt seg mot hackede organisasjoner som nekter hjelp fra det australske signaldirektoratet (ASD), og sammenligner det med å nekte å samarbeide med en flyulykkeetterforskning.
Et slikt eksempel ble diskutert som bevis for den parlamentariske felleskomiteen for etterretning og sikkerhet (PJCIS) fredag.
“Det var en nasjonalt kjent sak som involverte et nasjonalt kjent selskap som [ASD-generaldirektør Rachel Noble] og jeg nekter å nevne på dette tidspunktet,” sa han.
Ifølge Noble fikk ASD først høre om angrepet fra medieoppslag.
“Vi prøver å nå ut til selskapet for å avklare om medieoppslagene er sanne, og de vil ikke snakke med oss. Så da fortsetter vi å presse,” sa Noble.
“Noen ganger må vi bruke våre egne høytstående kontaktpersoner, noen ganger gjennom mennesker i denne bygningen [parlamentet] som kanskje kjenner medlemmer av styrer eller styreleder, for å prøve å etablere tillit og bygge vilje til å samarbeide.”
Når et hacket selskap samarbeider, kan ASD vanligvis kartlegge nettverkene sine og identifisere kriminaliteten som er involvert den første dagen.
Da det viktorianske helsesystemet fikk et ransomware-angrep i 2019, ble for eksempel skadelig programvare raskt identifisert, og nettverket var i gang igjen på fire dager.
“Det vi forlot dem med var også verktøy, opplæring og evne til å identifisere, for å beskytte seg mot et lignende angrepsangrep, men raskere identifisere det som skjer igjen,” sa Noble.
Imidlertid advokaterte det ikke navngitte selskapet, og det tok en uke for ASD å få til og med grunnleggende nettverksinformasjon.
“Fem dager senere får vi fremdeles et veldig tøft engasjement for å prøve å få dem til å gi oss data og distribuere noen av verktøyene våre, slik at vi kan finne ut hva som skjer i deres nettverk. Det går i 13 dager, “sa Noble.
“Denne hendelsen hadde nasjonal innvirkning på landet vårt. På dag 14 kan vi bare gi dem generiske beskyttelsesråd, og nettverket deres er fortsatt nede. Tre måneder senere blir de reinfisert, og vi starter på nytt.”
Noble sier at dette er grunnen til at ASD trenger de makter som vil bli gitt av lovgivning som for øyeblikket blir gjennomgått, lov om etterretning og sikkerhet: gjennomgang av sikkerhetslovgivningen (kritisk infrastruktur) 2020.
p>”Denne lovgivningen gir oss faktisk bare myndighet gjennom innenriksministeren til å øke utbyttet til å forvente at disse kritiske infrastrukturleverandørene faktisk har bedre cybersikkerhetsstandarder,” sa hun.
“Den beste delen av denne lovgivningen, fra mitt synspunkt, er at hvis de passer på seg selv, blir det ikke arbeid for mitt folk. Og hvis forsvaret deres er mye høyere, holder de det lave nivået krummer ut, og da kan vi kanskje fokusere på de mye mer sofistikerte høyt organiserte kriminelle syndikatene eller statlige aktørene. ”
Uregulerte libertariske nettfly setter allmenningen i fare
Pezzullo sier at parlamentet har en plikt til å “tenke på reguleringen av nettområdet slik du vil tenke på reguleringen av andre allmenninger”.
“Hver gang et av flyene våre går ned, samarbeider vi selvfølgelig med etterforskerne, og vi regner ut hvor alle kroppene var, og vrakene til delene, og vi hjelper til med sikkerhetsetterforskningen, ” han sa.
Ikke bare lærer vi leksjoner av krasj, sa han, men vi regulerer også flyets bevegelse gjennom himmelen.
“Utviklingen av internett har vært organisk. Det er drevet av en noe uvanlig kombinasjon av libertariske impulser på den ene siden, og profittdrevne motivasjoner på den andre siden,” sa Pezzullo.
“Hver gang du kobler deg til, flyr du usikkert gjennom luftrommet. Vi ville ikke tolerere at luftrommet vårt var uregert og uregulert av staten.”
Se også: Hvordan FBI og AFP fikk tilgang til krypterte meldinger i TrojanShield-etterforskningen
Noble brukte fordelene ved å samarbeide med ASD.
“Våre folk i ASD er i hånd-til-hånd-kamp med kriminelle og statlige sektorer hver eneste dag. Vi har fordelen av topp hemmelig etterretning gitt oss fra hele verden, ikke bare vår egen intelligens som vi kan samle, [og] 75 år med investering i teknisk evne til å analysere og pakke den ut med en utrolig holdning og evne til å forstå, gjennom våre cyberforsvarskapasiteter, hva som skjer på Australias internett. ”
Hvorfor ville bedrifter nekte hjelp? Bortsett fra potensielle filosofiske innvendinger, tilbød Noble en rekke teorier.
Først er det det hun kalte “IKT professional hubris”. Organisasjoner vil tro at de har de tekniske ferdighetene og ikke trenger hjelp.
“Vi forstår at folk føler det. Det er vanligvis før de faktisk har satt pris på det de har å gjøre med,” sa Noble.
For det andre, scenariet Noble mener bringer advokatene inn i rommet er når organisasjonen ikke har en hendelsesresponsplan. De vet ikke hvordan de skal håndtere offentlig kommunikasjon, forholdet til sine leverandører og kunder, potensiell merkevareskade og andre kommersielle interesser.
For det tredje er det spørsmål om ansvar, alt fra spørsmål om styrets plikter og om de har vært uaktsomme, til å handle på ASD-råd, som da har en negativ innvirkning på selskapet.
Som PJCIS-leder Senator James Paterson bemerket, har noen innsendere til henvendelsen sagt at beskyttelsen mot ansvar som tilbys i lovforslaget, kanskje ikke er tilstrekkelig.
Pezzullo sa at denne gjennomgangen av kritisk infrastrukturlov ikke skal sees på som en frittstående handling. Det jobbes som en del av 2020-strategien for cybersikkerhet “som går nettopp til spørsmålet om selskapslovgivning, styreroppgaver, [og] regulering av bedre praksis på dette feltet”.
“For å være rettferdig overfor de ledende teamene som sliter med dette, er ting som forsikringsprodukter, den aktuarmessige beregningen og prisingen av risikoen, dybden i gjenforsikringsbassenget, rettspraksis, ikke spesielt godt utformet,” sa Pezzullo.
“Vi er virkelig i de første dagene av flyet. Det er bare at motstanderne lærte å fly, og de fikk bedre fly for øyeblikket enn de fleste firmaer.”
Forstyrre Cyber Pirates of the Caribbean
På det bredere spørsmålet om å håndtere ondsinnede aktører på nettet, sa Pezzullo at regjeringer trengte å gå offensivt.
Politi og etterretningsbyråer, noen ganger med hjelp fra militære nettstyrker, slår mot disse aktørene i “havnene”, men noen er utenfor rekkevidde.
“Dessverre sier stater – noen stater – enten blinde øynene for deres aktiviteter, eller aktivt aktivere og sponsere dem. Dessverre oppmuntrer statsvern disse ondsinnede aktørene,” sa han.
En modell for å takle denne utfordringen kan være den globale terrorbekjempelsesmodellen som ble satt på plass etter 11. september for å håndtere al Qaida, men Pezzullo foreslo noe ganske annet.
“En annen modell som jeg vil foreslå denne komiteen som det er verdt å reflektere over, da du vurderer dette lovforslaget og vurderer rapporten din, er kampanjen som ble arrangert i 17., 18. og deretter i begynnelsen på 1800-tallet, for å rydde verdenshavene for pirater, inkludert piratene i Karibien, som ble beseiret av Hennes Majestetts krigsskip fra Royal Navy, i tråd med å bringe lov til et lovløst hav, “sa han.
“Dette er et problem som vi kan takle, akkurat som Storbritannia overvant piratkopiering. Men vi trenger verktøyene for å gjøre det, inkludert de nødvendige juridiske myndighetene.”
Relatert dekning
Ransomware er den største cybersikkerhetstrusselen vi står overfor, advarer cyber-sjefRansomware: Russland ba om å takle cyberkriminelle som opererer innenfor sine grenser. Volkswagen, Audi, avslører datainnbrudd som påvirker over 3,3 millioner kunder, interesserte kjøpere telesektoren ser ned på en foreskrevet sikkerhetsstandard
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 