Immagine: Asha Barbaschow/ZDNet
La neo nominata ministra per gli affari interni Karen Andrews ha individuato il cyber come una priorità nel suo portafoglio, utilizzando le riforme delle infrastrutture critiche australiane come esempio di come il governo ha lavorato per proteggere la nazione .
“Ho elevato il cyber a grande priorità nel portafoglio”, ha detto Andrews, parlando giovedì nell'ambito della conferenza CEDA State of the Nation 2021.
Le riforme, attraverso il Security Legislation Amendment (Critical Infrastructure) Bill 2020, consentirebbero, tra le altre cose, al governo di fornire “assistenza” alle entità in risposta a significativi attacchi informatici ai sistemi australiani. I giganti della tecnologia che operano in Australia, come Amazon Web Services, Cisco, Microsoft e Salesforce, hanno tutti messo in discussione questi poteri di “ultima risorsa”.
“La legislazione sulle infrastrutture critiche è particolarmente importante per noi e penso che ciò che dimostra sia la percezione delle persone di ciò che è un'infrastruttura critica, che va ben oltre i mattoni e la malta fisica, è fondamentale per noi”, ha detto Andrews.
Il disegno di legge introduce comunicazioni, servizi finanziari, archiviazione ed elaborazione dati, istruzione superiore e ricerca, energia, cibo e generi alimentari, sanità e medicina, tecnologia spaziale, trasporti, acqua e fognature per la definizione di infrastruttura critica.
“Sappiamo che c'è una crescente minaccia di attacchi informatici qui in Australia, ransomware, questi sono problemi significativi per noi. È anche importante riconoscere che molte aziende che sono state oggetto di un attacco ransomware o potrebbero esserlo soggetti a un attacco ransomware non saranno necessariamente disponibili a fornire tali informazioni”, ha continuato Andrews.
“Se non disponiamo delle informazioni che passano all'Australian Signals Directorate che consente loro di entrare e fornire un livello di supporto, allora significa che non possiamo aiutare nel tentativo di ristabilire alcune delle connessioni che sono lì per cercare di aiutarci a recuperare i dati. Significa anche che non stiamo ottenendo le informazioni di cui abbiamo bisogno che porteranno a un ambiente più sicuro dal punto di vista informatico per noi qui in Australia.”
Andrews ha affermato che la legislazione deve “essere portata avanti con urgenza”.
“Questo è il mio piano”, ha aggiunto. “Penso che offra effettivamente molte più protezioni di quanto non introduca rischi.”
A parlare al fianco di Andrews è stata Michelle Price, CEO di AustCyber, l'organizzazione incaricata di far crescere un ecosistema di sicurezza informatica locale. Ha propagandato la legislazione come “un pezzo di un mosaico molto ampio di cose” che deve essere intrapresa.
“La gente sta celebrando che questa legislazione sta accadendo, principalmente perché livella le condizioni di gioco tra i settori, ” lei disse.
Per Price, tuttavia, è importante che avvenga un'istruzione sullo scopo e sulle conseguenze del disegno di legge.
“Dobbiamo assicurarci che l'istruzione si diffonda, è qui che entra in gioco la catena del valore, quelle reti affidabili di condivisione delle informazioni che si verificano in modo organico e orchestrato, per assicurarsi che tutti siano a conoscenza di questa legislazione ,” ha aggiunto.
“Penso che il governo abbia fatto un buon lavoro nell'imparare alcune lezioni dalla legislazione sulla crittografia e abbia svolto un'ampia consultazione di questa legislazione nonostante il periodo di tempo relativamente breve che ha attraversato, rispetto ad altri settori come le telecomunicazioni Le riforme della sicurezza del settore e il regime di violazione dei dati notificabili … [che] hanno richiesto molto più tempo degli emendamenti alle infrastrutture critiche.”
Il Senato questa settimana ha approvato due progetti di legge che non hanno nemmeno concesso lunghi periodi di consultazione.
La legge sulla sicurezza online 2021 è stata approvata mercoledì sera con emendamenti. Tra le altre cose, la nuova legge estende la funzione di rimozione informatica del Commissario eSafety agli adulti, conferendo il potere di emettere avvisi di rimozione direttamente ai servizi che ospitano il contenuto e agli utenti finali responsabili del contenuto abusivo.
Il disegno di legge è stato presentato al Parlamento il 24 febbraio, otto giorni lavorativi dopo la chiusura della consultazione sul progetto di legge e prima che fossero pubblicate le circa 400 proposte alla consultazione. È stato consegnato a una commissione del Senato il 25 febbraio e dopo aver tenuto un'audizione pubblica, la commissione che ne ha esaminato il contenuto ha consegnato la sua relazione.
Discutendo il disegno di legge la scorsa settimana, il vice leader dei Verdi australiani, il senatore Nick McKim, ha affermato che il governo “[ha spinto] questi disegni di legge attraverso questo Parlamento senza un'adeguata considerazione e senza un controllo adeguato”.
Non ha avuto successo con la sua richiesta di il disegno di legge sarà abrogato e riscritto e dopo aver ricevuto l'assenso reale, eSafety eliminerà le specifiche su come verrà eseguito il nuovo schema sei mesi dopo.
Questa settimana è stata approvata anche la legge sull'emendamento alla legislazione sulle telecomunicazioni (Ordini di produzione internazionale) 2020.
La legge sull'IPO apre la strada all'Australia per condividere i dati sulle comunicazioni con altri paesi. Consente all'Australia di ottenere un accordo bilaterale proposto con gli Stati Uniti, in primo luogo, ai sensi del suo Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
Il disegno di legge ha approvato entrambe le camere, incorporando emendamenti dalle raccomandazioni fatto dal Comitato parlamentare misto per l'intelligence e la sicurezza (PJCIS) il mese scorso.
L'opposizione federale lunedì ha presentato al Parlamento un altro disegno di legge relativo alla sicurezza che, se approvato, richiederebbe alle organizzazioni di informare l'Australian Cyber Security Center (ACSC) prima che venga effettuato un pagamento a un'organizzazione criminale in risposta a un attacco ransomware.
Il Ransomware Payments Bill 2021 è stato presentato alla Camera dei rappresentanti dall'assistente del ministro ombra per la sicurezza informatica Tim Watts, che ha colto l'occasione per dire che l'attuale posizione del governo di dire alle aziende di difendersi “chiudendo le porte alle bande di cyber-criminali” era “non abbastanza buono”.
Rispondendo alla proposta di legge, Andrews ha affermato di essere aperta a esplorarlo.
“Dal punto di vista del governo, vorremmo effettivamente che le aziende si mettessero in contatto, in particolare ad ACSC, nel caso in cui abbiano un attacco ransomware o abbiano altre minacce”, ha affermato.
“[ACSC] è molto ben posizionato per essere in grado di supportarli, ma si affidano a, in molti casi, sulle aziende che le segnalano o le contattano direttamente.
“Ho già avuto alcune discussioni sulla segnalazione obbligatoria degli attacchi ransomware e la mia opinione in questa fase è che ci sono una serie di opinioni a riguardo – è molto contrastante nella risposta – quello che voglio fare nelle prossime settimane è esploralo in modo molto più completo.”
Andrew ha affermato di volere che l'ACSC sia dotata dell'opportunità di supportare le aziende che sono state oggetto di attacchi ransomware, ma anche questa consapevolezza era importante.
< p>“Quello che non voglio fare è finire con il carro davanti ai buoi in modo efficace e passare direttamente alla segnalazione obbligatoria del ransomware, dove non siamo passati attraverso il processo di sensibilizzazione sulla sicurezza informatica, sensibilizzazione sui ransomware, assicurandoci di disporre di tutti i meccanismi giusti per supportare le imprese”, ha affermato.
“Quindi sì, voglio raccogliere le informazioni, ma voglio assicurarmi che lo stiamo facendo in modo ragionevole e razionale.
“Ma sono aperto a esplorare questo. Lo sto già esplorando.”
COPERTURA CORRELATA
Le forze dell'ordine australiane hanno riscontrato problemi con la distruzione dei dati Pregiudizi e discriminazioni IA in abbondanza: i Verdi australiani vogliono l'abrogazione della legge sulla sicurezza onlineL'Australia deve aprire il sistema di identificazione digitale al settore privato con la consultazione sulla nuova legislazione esamina le tecnologie della catena di approvvigionamento come la blockchain: CommitteeSocietà australiana di fama nazionale accusata di resistere all'aiuto dell'ASD
Argomenti correlati:
Australia Security TV Data Management CXO Data Centers 