Bild: Asha Barbaschow/ZDNet
Nyutnämnd inrikesminister Karen Andrews har utpekat cyber som en prioritet i sin portfölj och har använt Australiens reformer av kritisk infrastruktur som ett exempel på hur regeringen har arbetat för att skydda nationen .
“Jag har höjt cyber till stor prioritet i portföljen”, sa Andrews och talade som en del av CEDA State of the Nation 2021-konferensen på torsdag.
Reformerna, i form av ändringsförslaget om säkerhetslagstiftning (kritisk infrastruktur) 2020, skulle bland annat göra det möjligt för regeringen att ge “hjälp” till enheter som svar på betydande cyberattacker mot australiska system. Tekniska giganter som är verksamma i Australien, såsom Amazon Web Services, Cisco, Microsoft och Salesforce, har alla tagit problem med dessa “sista utväg” -krafter.
“Den kritiska infrastrukturlagstiftningen är särskilt viktig för oss, och jag tror att det som den visar är människors uppfattning om vad som är kritisk infrastruktur, som ligger långt bortom de fysiska tegelstenarna, är avgörande för oss”, sa Andrews.
Lagförslaget tar in bland annat kommunikation, finansiella tjänster, datalagring och bearbetning, högre utbildning och forskning, energi, livsmedel och livsmedelsbutiker, hälso- och sjukvård, rymdteknik, transport och vatten- och avloppssektorer till definitionen av kritisk infrastruktur.
“Vi vet att det finns ett ökande hot mot cyberattacker här i Australien, ransomware, detta är viktiga frågor för oss. Det är också viktigt att vi inser att många företag som antingen har utsatts för en ransomware-attack eller sannolikt kommer att bli föremål för en ransomware-attack kommer inte nödvändigtvis att komma att tillhandahålla den informationen, “fortsatte Andrews.
“Om vi inte har den information som går vidare till det australiska signaldirektoratet som gör det möjligt för dem att komma in och ge supportnivå, betyder det att vi inte kan hjälpa till att försöka återupprätta några av de anslutningar som är där för att försöka hjälpa till med att återställa data. Det betyder också att vi inte får den intelligens som vi behöver som kommer att leda till en mer cybersäker miljö för oss här i Australien. “
Andrews sa lagstiftningen måste “utvecklas snarast”.
“Det är vad min plan är”, tillade hon. “Jag tror att det faktiskt ger betydligt mer skydd än det innebär risker.”
Tillsammans med Andrews talade Michelle Price, VD för AustCyber, organisationen som har ansvaret för att odla ett lokalt cybersäkerhetssystem. Hon framhöll lagstiftningen som “en bit av ett mycket stort lapptäcke av saker” som måste genomföras.
“Folk firar att denna lagstiftning sker, främst för att den gör lika villkor i branscher, ” Hon sa.
Avgörande för Price är dock att utbildning om fakturans syfte och konsekvenser ska ske.
“Vi måste se till att utbildningen sprids, det är här värdekedjan kommer in i den, de betrodda informationsdelningsnätverk som sker organiskt, liksom på ett orkestrerat sätt, för att se till att alla är medvetna om denna lagstiftning “, tillade hon.
“Jag tror att regeringen har gjort ett bra jobb med att dra lärdom av krypteringslagstiftningen och har gjort omfattande samråd med denna lagstiftning trots den relativt korta tid som den har gått igenom, jämfört med andra områden som telekommunikation Sektorssäkerhetsreformer och systemet för anmälningspliktiga dataintrång … [som] har tagit mycket längre tid än de kritiska infrastrukturändringarna. “
Senaten godkände den här veckan två räkningar som inte heller fick särskilt långa samrådsperioder.
Onlinesäkerhetspropositionen 2021 vinkades igenom på onsdagskvällen med ändringar. Den nya lagen utvidgar bland annat eSafety Commissioners cyber-borttagningsfunktion till vuxna, vilket ger befogenhet att utfärda borttagningsmeddelanden direkt till de tjänster som är värd för innehållet och slutanvändare som är ansvariga för det kränkande innehållet.
Lagförslaget var infördes för parlamentet den 24 februari, åtta arbetsdagar efter samråd om lagförslaget och innan de 400-inlagorna till samrådet publicerades. Den överlämnades till en senatskommitté den 25 februari och efter att ha hållit en offentlig utfrågning överlämnade kommittén dess innehåll.
Debatt om lagförslaget förra veckan sa australiensiska gröna medföreträdande ledare Senator Nick McKim att regeringen “[ramade] dessa räkningar genom detta parlament utan adekvat övervägande och utan adekvat granskning”.
Han misslyckades med sin begäran om lagförslaget ska upphävas och skrivas om och efter att ha fått Royal Assent kommer eSafety att rensa specifikationerna för hur det nya systemet kommer att köras sex månader därefter.
Den här veckan antogs också lagförslaget om telekommunikationslagstiftning (International Production Orders) 2020.
IPO-propositionen banar väg för Australien att dela kommunikationsdata med andra länder. Det gör det möjligt för Australien att i första hand få ett föreslaget bilateralt avtal med Förenta staterna enligt dess klargörande laglig utländsk användning av datalagen (CLOUD Act).
Lagförslaget godkände båda parlamentet och innehåller ändringar från rekommendationer gjordes av den parlamentariska gemensamma kommittén för underrättelse och säkerhet (PJCIS) förra månaden.
Den federala oppositionen införde på måndagen ännu en säkerhetsrelaterad proposition för parlamentet som, om den godkänns, skulle kräva att organisationer informerade Australian Cyber Security Center (ACSC) innan en betalning görs till en kriminell organisation som svar på en ransomware-attack.
Ransomware Payments Bill 2021 infördes i Representanthuset av Shadow Assistant Minister for Cybers Security Tim Watts, som tog tillfället i akt att säga att regeringens nuvarande position att säga till företag att försvara sig genom att “låsa sina dörrar för cyberkriminella gäng” var “inte tillräckligt bra”.
Som svar på den föreslagna propositionen sa Andrews att hon var öppen för att utforska den.
“Ur regeringens perspektiv vill vi faktiskt att företag ska nå ut, särskilt för ACSC, i händelse av att de får en ransomware-attack eller om de har andra hot, “sa hon.
” [ACSC] är mycket väl lämpade för att kunna stödja dem, men de litar på, i många fall om företag som rapporterar eller kontaktar dem direkt.
“Jag har redan haft några diskussioner om obligatorisk rapportering av ransomware-attacker och min uppfattning är att det finns en rad åsikter om det – det är väldigt blandat i svaret – vad jag vill göra under de kommande veckorna utforska det mycket mer fullständigt. “
Andrew sa att hon vill att ACSC ska beväpnas med möjligheten att stödja företag som har varit föremål för ransomware-attacker, men att medvetenheten var också viktig.
< p>“Vad jag inte vill göra är att sluta med vagnen innan hästen effektivt och gå direkt till den obligatoriska rapporteringen av ransomware, där vi inte har gått igenom processen att öka medvetenheten om cybersäkerhet, öka medvetenheten om ransomware se till att vi har på plats alla rätt mekanismer för att stödja företag “, sa hon.
” Så ja, jag vill samla in underrättelser, men jag vill se till att vi gör det här på ett förnuftigt och rationellt sätt.
“Men jag är öppen för att utforska detta. Jag utforskar det redan. “
RELATERAT TÄCKNING
Australiens brottsbekämpning har haft problem med dataförstörelse AI-partiskhet och diskriminering i överflöd: Australiska gröna vill att Online Safety Bill ska upphävas Australien för att öppna digitalt ID-system för privat sektor med samråd om ny lagstiftning Australiens regering ser ut att göra Essential Eight nödvändigt. titta på supply chain-teknologier som blockchain: CommitteeNationellt kända australiska företag advokaterade för att motstå ASD-hjälp
Relaterade ämnen:
Australia Security TV Data Management CXO Data Center 