Bild: Getty Images
Sekreteraren för inrikesdepartementet, Mike Pezzullo, har uttalat sig mot hackade organisationer som vägrar hjälp från Australian Signals Directorate (ASD) och liknar det med att vägra att samarbeta med en flygkraschutredning.
Ett sådant exempel diskuterades som bevis för den parlamentariska gemensamma kommittén för underrättelsetjänst (PJCIS) på fredagen.
“Det var ett nationellt känt fall som involverade ett nationellt känt företag som [ASD-generaldirektören Rachel Noble] och jag avböjer att namnge vid denna tidpunkt”, sa han.
Enligt Noble fick ASD först reda på attacken från medierapporter.
“Vi försöker nå företaget för att klargöra om medierapporterna är sanna, och de vill inte prata med oss. Så då fortsätter vi att driva,” sa Noble.
“Ibland måste vi använda våra egna högnivåkontakter, ibland genom människor i denna byggnad [parlamentet] som kanske känner till styrelseledamöter eller styrelseordförande, för att försöka skapa förtroende och bygga en vilja att samarbeta.”
När ett hackat företag samarbetar kan ASD vanligtvis kartlägga sina nätverk och identifiera brottsligheten den första dagen.
När det viktorianska hälsosystemet drabbades av en ransomware-attack under 2019, till exempel, identifierades skadlig programvara snabbt och nätverket var igång igen på fyra dagar.
“Det vi lämnade dem med var också verktyg, träning och förmåga att identifiera, för att skydda sig från en liknande attackattack, men snabbare identifiera att det händer igen”, sa Noble.
Men det namngivna företaget advokaterade, och det tog en vecka för ASD att få till och med grundläggande nätverksinformation.
“Fem dagar senare får vi fortfarande ett mycket trögt engagemang för att försöka få dem att hjälpa till att tillhandahålla data till oss och distribuera några av våra verktyg så att vi kan ta reda på vad som händer i deras nätverk. Det går i 13 dagar, sade Noble.
“Denna incident hade en nationell inverkan på vårt land. På dag 14 kan vi bara ge dem generiska råd om skydd, och deras nätverk är fortfarande nere. Tre månader senare infekteras de och vi börjar igen.”
Noble säger att detta är anledningen till att ASD behöver de befogenheter som skulle beviljas genom lagstiftning som för närvarande granskas, lagstiftning om underrättelse och säkerhet: granskning av säkerhetslagstiftningen (kritisk infrastruktur) 2020.
p>”Denna lagstiftning ger oss faktiskt bara befogenhet, genom inrikes frågor, mer hävstång att förvänta oss att dessa kritiska infrastrukturleverantörer faktiskt har bättre cybersäkerhetsstandarder i första hand”, sa hon.
“Den bästa delen av denna lagstiftning, ur min synvinkel, är om de tar hand om sig själva blir det inte arbete för mitt folk. Och om deras försvar är mycket högre, håller de lågnivån kramar ut, och då kan vi kanske fokusera på de mycket mer sofistikerade högorganiserade kriminella syndikaten eller statliga aktörer. ”
Oreglerade libertära cyberplan hotar allmänheten
Pezzullo säger att parlamentet har en skyldighet att “tänka på reglering av cyberspace på det sätt som du skulle tänka på reglering av andra allmängods”.
“Varje gång ett av våra plan går ner samarbetar vi naturligtvis med utredarna, och vi räknar ut var alla kroppar var, och delarnas vrak, och vi hjälper till med säkerhetsutredningen, ” han sa.
Inte bara lär vi oss lärdomar av krascher, sade han, men vi reglerar också flygplanets rörelse genom våra himlar.
“Internetutvecklingen har varit organisk. Den har drivits av en något ovanlig kombination av libertära impulser å ena sidan och vinstdrivna motiv, å andra sidan”, sa Pezzullo.
“Varje gång du ansluter flyger du osäkert genom luftrummet. Vi tolererar inte att vårt luftrum är oreglerat och oreglerat av staten.”
Se även: Hur FBI och AFP fick tillgång till krypterade meddelanden i TrojanShield-undersökningen
Noble utnyttjade fördelarna med att samarbeta med ASD.
“Våra människor i ASD är i hand-till-hand-strid med brottslingar och statsbaserade sektorer varje dag. Vi har fördelen med topphemlig intelligens som tillhandahålls oss från hela världen, inte bara vår egen intelligens som vi kan samla, [och] 75 års investering i teknisk förmåga för att analysera och packa upp den med en otrolig hållning och förmåga att förstå, genom våra cyberförsvarsfunktioner, vad som händer på Australiens internet. ”
Varför skulle företag vägra hjälp? Förutom potentiella filosofiska invändningar erbjöd Noble en rad teorier.
Först finns det vad hon kallade “ICT professional hubris”. Organisationer vill tro att de har de tekniska färdigheterna och inte behöver hjälp.
“Vi förstår att människor känner så. Det är vanligtvis innan de faktiskt har uppskattat vad de har att göra med,” sa Noble.
För det andra är scenariot som Noble anser att advokaterna kommer in i rummet när organisationen inte har en plan för incidenthantering. De vet inte hur de ska hantera offentlig kommunikation, relationer med sina leverantörer och kunder, potentiella varumärkesskador och andra kommersiella intressen.
För det tredje finns det frågor om ansvar, allt från styrelseledamöternas skyldigheter och huruvida de har varit oaktsamma, till att agera på ASD-råd som sedan påverkar företaget negativt.
Som PJCIS-ordförande Senator James Paterson noterade, har vissa inlämnare till utredningen sagt att skyddet mot ansvar som erbjuds i propositionen kanske inte är tillräckligt.
Pezzullo sa att denna översyn av kritisk infrastrukturlag inte bör ses som en fristående åtgärd. Det görs arbete som en del av strategin för cybersäkerhet 2020 “som går just till frågan om bolagsrätt, styrelseledamöter, [och] bättre praxisreglering inom detta område”.
“I rättvisa ordalag för de verkställande ledningsgrupperna som kämpar med detta är saker som försäkringsprodukter, den aktuariella kostnaden och prissättningen av risken, djupet i återförsäkringspoolen, rättspraxis, inte särskilt välformerad”, sa Pezzullo.
“Vi är verkligen i början av flygningen. Det är bara att motståndarna lärde sig att flyga och de fick bättre plan just nu än de flesta företag.”
Störa Cyber Pirates of the Caribbean
När det gäller den bredare frågan om att hantera skadliga aktörer online sa Pezzullo att regeringarna måste gå offensivt.
Polis och underrättelsetjänster, ibland med hjälp av militära cyberstyrkor, slår mot dessa aktörer i “tillflyktsorten”, men vissa är utom räckhåll.
“Tyvärr stater – vissa stater – antingen blunda för sina aktiviteter eller aktivt aktivera och sponsra dem. Tyvärr ger det statliga skyddet uppmuntrande dessa skadliga aktörer,” sade han.
En modell för att ta itu med denna utmaning kan vara den globala terrorismmodellen som infördes efter 11 september för att hantera al Qaida, men Pezzullo föreslog något helt annat.
“En annan modell som jag skulle vilja föreslå för denna kommitté som det är värt att reflektera över, eftersom du överväger detta lagförslag och överväger ditt betänkande, är kampanjen som startades 17, 18 och sedan i början av 1800-talet, för att rensa världens hav av pirater, inklusive piraterna i Karibien, som besegrades av Hennes Majestät krigsfartyg från Royal Navy, i samförstånd med att föra lag till ett laglöst hav, “sa han.
“Detta är ett problem som vi kan hantera, precis som Storbritannien övervann piratkopiering. Men vi behöver verktygen för att göra det, inklusive nödvändiga rättsliga myndigheter.”
Relaterad täckning
Ransomware är det största cybersäkerhetshotet vi står inför, varnar cyberchefen Ransomware: Ryssland uppmanas att ta itu med cyberbrottslingar som arbetar inom sina gränser. Volkswagen, Audi avslöjar dataintrång som påverkar över 3,3 miljoner kunder, intresserade köpare telco-sektor tittar ner på en föreskriven säkerhetsstandard
Relaterade ämnen:
Australien Security TV Data Management CXO Data Centers 