Afbeelding: Asha Barbaschow/ZDNet
De nieuw benoemde minister van Binnenlandse Zaken Karen Andrews heeft cyber als een prioriteit in haar portefeuille genoemd, waarbij ze de hervormingen van de kritieke infrastructuur in Australië gebruikt als een voorbeeld van hoe de regering heeft gewerkt om de natie te beschermen.
“Ik heb cyber naar een hoger niveau getild. tot grote prioriteit in de portefeuille”, zei Andrews, sprekend als onderdeel van de CEDA State of the Nation 2021-conferentie op donderdag.
De hervormingen, door middel van de Wet op de wijziging van de veiligheidswetgeving (Critical Infrastructure) Bill 2020, zouden de regering onder meer in staat stellen om “bijstand” te bieden aan entiteiten in reactie op significante cyberaanvallen op Australische systemen. Technische giganten die in Australië actief zijn, zoals Amazon Web Services, Cisco, Microsoft en Salesforce, hebben allemaal bezwaar gemaakt tegen deze “laatste redmiddel”-bevoegdheden.
“De wetgeving inzake kritieke infrastructuur is bijzonder belangrijk voor ons, en ik denk dat wat het laat zien, is dat de perceptie van mensen van wat kritieke infrastructuur is, die veel verder gaat dan de fysieke bakstenen en mortel, voor ons van cruciaal belang is”, zei Andrews.
Het wetsvoorstel brengt onder meer communicatie, financiële diensten, gegevensopslag en -verwerking, hoger onderwijs en onderzoek, energie, voedsel en kruidenierswaren, gezondheidszorg en geneeskunde, ruimtetechnologie, transport en water- en rioleringssectoren binnen de definitie van kritieke infrastructuur.
“We weten wel dat er een toenemende dreiging is van cyberaanvallen hier in Australië, ransomware, dit zijn belangrijke problemen voor ons. Het is ook belangrijk dat we erkennen dat veel bedrijven die het slachtoffer zijn van een ransomware-aanval of waarschijnlijk worden die onderhevig zijn aan een ransomware-aanval, zullen niet noodzakelijkerwijs beschikbaar zijn om die informatie te verstrekken,” vervolgde Andrews.
“Als we niet de informatie hebben die doorgaat naar de Australian Signals Directorate die hen in staat stelt om binnen te komen en een niveau van ondersteuning te bieden, dan betekent dit dat we niet kunnen helpen bij het proberen om enkele van de verbindingen die zijn daar om te proberen en te helpen bij het herstellen van de gegevens. Het betekent ook dat we niet de informatie krijgen die we nodig hebben, wat zal leiden tot een meer cyberveilige omgeving voor ons hier in Australië.”
Andrews zei dat de wetgeving “Er moest dringend vooruitgang worden geboekt”.
“Dat is mijn plan”, voegde ze eraan toe. “Ik denk dat het eigenlijk aanzienlijk meer bescherming biedt dan dat het risico's met zich meebrengt.”
Naast Andrews sprak Michelle Price, CEO van AustCyber, de organisatie die belast is met het uitbouwen van een lokaal cybersecurity-ecosysteem. Ze prees de wetgeving aan als “een stuk van een zeer grote lappendeken van dingen” die ondernomen moest worden.
“Mensen juichen dat deze wetgeving wordt ingevoerd, voornamelijk omdat het het speelveld voor alle bedrijfstakken gelijk maakt, ” ze zei.
Van belang voor Price was echter dat voorlichting over het doel en de gevolgen van het wetsvoorstel zou plaatsvinden.
“We moeten ervoor zorgen dat dat onderwijs zich verspreidt, dit is waar de waardeketen binnenkomt, die vertrouwde netwerken voor het delen van informatie die zowel organisch als op een georkestreerde manier plaatsvinden, om ervoor te zorgen dat iedereen op de hoogte is van deze wetgeving ,” voegde ze eraan toe.
“Ik denk dat de regering er goed aan heeft gedaan enkele lessen te trekken uit de encryptiewetgeving en deze wetgeving uitgebreid heeft geraadpleegd, ondanks de relatief korte tijd die het heeft doorgemaakt, vergeleken met andere gebieden zoals de telecommunicatiewetgeving. Sectorale veiligheidshervormingen en de regeling voor meldingsplichtige gegevensinbreuken … [die] veel langer hebben geduurd dan de wijzigingen in kritieke infrastructuur.”
De Senaat heeft deze week twee wetsvoorstellen aangenomen die ook niet bijzonder lange consultatieperiodes kregen.
De Online Safety Bill 2021 is woensdagavond met wijzigingen doorgezwaaid. De nieuwe wet breidt onder meer de cyberverwijderingsfunctie van de eSafety Commissioner uit tot volwassenen, waardoor de bevoegdheid wordt verleend om verwijderingsverzoeken rechtstreeks uit te vaardigen naar de diensten die de inhoud hosten en eindgebruikers die verantwoordelijk zijn voor de onrechtmatige inhoud.
Het wetsvoorstel was ingediend bij het Parlement op 24 februari, acht werkdagen nadat de consultatie over de ontwerpwetgeving was afgesloten en voordat de 400-iets voor de consultatie werden gepubliceerd. Het werd op 25 februari overhandigd aan een senaatscommissie en na een openbare hoorzitting te hebben gehouden, heeft de commissie die de inhoud ervan onderzocht, haar rapport uitgebracht.
Bij het debatteren over het wetsvoorstel vorige week, zei de mede-plaatsvervangend leider van de Australische Groenen, senator Nick McKim, dat de regering “deze wetsvoorstellen door dit Parlement [heeft geramd] zonder adequate overweging en zonder adequaat onderzoek”.
Hij was niet succesvol met zijn verzoek om het wetsvoorstel dat moet worden ingetrokken en herschreven en na ontvangst van de koninklijke goedkeuring, zal eSafety de specificaties schrappen van hoe het nieuwe schema zes maanden daarna zal worden uitgevoerd.
Deze week werd ook het amendement op de telecommunicatiewetgeving aangenomen (Internationale productieorders) Factuur 2020.
De IPO-wet maakt de weg vrij voor Australië om communicatiegegevens met andere landen te delen. Het stelt Australië in staat om een voorgestelde bilaterale overeenkomst te sluiten met de Verenigde Staten, in eerste instantie onder de Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
Het wetsvoorstel werd door beide kamers aangenomen, ondanks de parlementaire gezamenlijke Commissie voor Inlichtingen en Veiligheid (PJCIS) die vorige maand de goedkeuring van het wetsvoorstel alleen aanbeveelt als de regering de 23 aanbevelingen die het heeft gedaan, uitvoert.
De federale oppositie heeft maandag nog een andere veiligheidsgerelateerde wet bij het parlement ingediend die, indien aangenomen, organisaties ertoe zou verplichten het Australian Cyber Security Center (ACSC) op de hoogte te stellen voordat een betaling wordt gedaan aan een criminele organisatie als reactie op een ransomware-aanval.
De Ransomware Payments Bill 2021 werd in het Huis van Afgevaardigden geïntroduceerd door schaduwassistent-minister voor Cyberbeveiliging Tim Watts, die van de gelegenheid gebruik maakte om te zeggen dat het huidige standpunt van de regering om bedrijven te vertellen zichzelf te verdedigen door “hun deuren te sluiten voor cybercriminele bendes” was “niet goed genoeg”.
Andrews reageerde op het voorgestelde wetsvoorstel en zei dat ze ervoor openstond om het te onderzoeken.
“Vanuit het perspectief van de regering zouden we eigenlijk willen dat bedrijven contact opnemen, vooral aan ACSC, in het geval dat ze een ransomware-aanval hebben of andere bedreigingen hebben,” zei ze.
“[ACSC] is zeer goed geplaatst om hen te kunnen ondersteunen, maar ze vertrouwen op, in veel gevallen op bedrijven die hen rapporteren of rechtstreeks contact met hen opnemen.
“Ik heb al wat discussies gehad over het verplicht melden van ransomware-aanvallen en mijn mening in dit stadium is dat daar verschillende meningen over zijn – het is erg gemengd in de reactie – wat ik de komende weken wil doen is onderzoek dat veel uitgebreider.”
Andrew zei dat ze wil dat het ACSC wordt bewapend met de mogelijkheid om bedrijven te ondersteunen die het slachtoffer zijn geworden van ransomware-aanvallen, maar dat bewustzijn was ook belangrijk.
< p>“Wat ik niet wil, is effectief met de wagen voor het paard eindigen en direct overgaan op de verplichte melding van ransomware, waar we het proces van bewustwording van cyberbeveiliging, bewustwording van ransomware, ervoor zorgen dat we over alle juiste mechanismen beschikken om bedrijven te ondersteunen,” zei ze.
“Dus ja, ik wil de informatie verzamelen, maar ik wil er zeker van zijn dat we dit doen op een verstandige en rationele manier.
“Maar ik sta ervoor open om dit te onderzoeken. Ik ben het al aan het verkennen.”
GERELATEERDE DEKKING
Australische wetshandhavers blijken problemen te hebben met gegevensvernietiging Vooringenomenheid en discriminatie in overvloed: Australische Groenen willen dat Online Safety Bill wordt ingetrokken Australië gaat digitale ID-systeem openstellen voor de particuliere sector met overleg over nieuwe wetgeving Australische regering wil Essential Eight essentieel maken onderzoek naar supply chain-technologieën zoals blockchain: CommitteeNationaal bekend Australisch bedrijf pleitte voor verzet tegen ASD-hulp
Verwante onderwerpen:
Australië Security TV Data Management CXO Datacenters 