Bilde: Asha Barbaschow/ZDNet
Nyutnevnt innenriksminister Karen Andrews har utpekt cyber som en prioritet i sin portefølje, ved å bruke Australias reformer av kritisk infrastruktur som et eksempel på hvordan regjeringen har jobbet for å beskytte nasjonen.
“Jeg har forhøyet cyber til stor prioritering i porteføljen, “sa Andrews, som en del av CEDA State of the Nation 2021-konferansen torsdag.
Reformene, ved hjelp av lovforslaget om lovbestemmelse om sikkerhetslovgivning (kritisk infrastruktur) 2020, vil blant annet tillate regjeringen å gi “hjelp” til enheter som svar på betydelige cyberangrep på australske systemer. Tekniske giganter som opererer i Australia, som Amazon Web Services, Cisco, Microsoft og Salesforce, har alle tatt problemer med disse “siste utvei” -maktene.
“Kritisk infrastrukturlovgivning er spesielt viktig for oss, og jeg tror at det den viser er folks oppfatning av hva som er kritisk infrastruktur, som er langt utenfor den fysiske murstein og mørtel, er avgjørende for oss,” sa Andrews.
Lovforslaget bringer inn kommunikasjon, finansielle tjenester, datalagring og -behandling, høyere utdanning og forskning, energi, mat og dagligvare, helsetjenester og medisinsk, romteknologi, transport og vann- og avløpssektorer til definisjonen av kritisk infrastruktur.
“Vi vet at det er en økende trussel om cyberangrep her i Australia, ransomware, dette er viktige problemer for oss. Det er også viktig at vi anerkjenner at mange virksomheter som enten har vært utsatt for et ransomware-angrep eller sannsynligvis vil bli utsatt for utsatt for et ransomware-angrep, kommer ikke nødvendigvis til å komme med informasjonen, “fortsatte Andrews.
“Hvis vi ikke har informasjonen til det australske signaldirektoratet som gjør det mulig for dem å komme inn og gi et nivå av støtte, så betyr det at vi ikke kan hjelpe til med å prøve å gjenopprette noen av forbindelsene som er der for å prøve å hjelpe med å gjenopprette dataene. Det betyr også at vi ikke får den intelligensen vi trenger som vil føre til et mer cybersikker miljø for oss her i Australia. “
Andrews sa lovgivningen trengte å “bli fremskyndet som et hastesak”.
“Det er hva planen min er,” la hun til. “Jeg tror det faktisk gir betydelig mer beskyttelse enn det innebærer risiko.”
Talt sammen med Andrews var Michelle Price, administrerende direktør i AustCyber, organisasjonen som har ansvaret for å dyrke et lokalt cybersikkerhetsøkosystem. Hun spionerte lovgivningen som “ett stykke av et veldig stort lappeteppe av ting” som måtte utføres.
“Folk feirer at denne lovgivningen skjer, hovedsakelig fordi den utjevner vilkårene i bransjer, ” hun sa.
Av betydning for Price var imidlertid at utdanning om lovforslagets formål og konsekvenser skulle forekomme.
“Vi må sørge for at utdanningen sprer seg, det er her verdikjeden kommer inn i den, de pålitelige informasjonsdelingsnettverkene som forekommer organisk, så vel som på en orkestrert måte, for å sikre at alle er klar over denne lovgivningen , “la hun til.
“Jeg tror at regjeringen har gjort en god jobb med å lære noen leksjoner fra krypteringslovgivningen og har gjort omfattende høring av denne lovgivningen til tross for den relativt korte tidsperioden den har gått gjennom, sammenlignet med andre områder som telekommunikasjon. Sektorens sikkerhetsreformer og Notifiable Data Breaches-ordningen … [som] har tatt mye lenger tid enn de kritiske infrastrukturendringene. “
Senatet vedtok denne uken to lovforslag som heller ikke var spesielt gitt lange konsultasjonsperioder.
Online Safety Bill 2021 ble vinket gjennom onsdag kveld med endringer. Den nye loven utvider blant annet eSafety Commissioner's cyber takedown-funksjon til voksne, og gir makt til å utstede varsler om fjerning direkte til tjenestene som er vert for innholdet og sluttbrukere som er ansvarlige for det voldelige innholdet.
Lovforslaget var introdusert for parlamentet 24. februar, åtte virkedager etter konsultasjon om lovutkastet avsluttet, og før de 400 innleggene til konsultasjonen ble publisert. Den ble overlevert til en senatskomité 25. februar, og etter å ha holdt en offentlig høring, komiteen som gransket innholdet, avga rapporten.
Debatt om lovforslaget i forrige uke, sa australske grøntes nestleder, senator Nick McKim, at regjeringen “[rammet] disse lovene gjennom dette parlamentet uten tilstrekkelig vurdering og uten tilstrekkelig gransking.” lovforslaget som skal oppheves og omskrives og etter mottakelse av Royal Assent, vil eSafety nøkkel ut spesifikasjonene for hvordan den nye ordningen skal kjøres seks måneder etterpå.
Endelig vedtatt lovendringsendring for telekommunikasjon (International Production Orders) Bill 2020.
IPO-regningen legger til rette for at Australia kan dele kommunikasjonsdata med andre land. Det tillater Australia å innhente en foreslått bilateral avtale med USA, i første omgang, under sin Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
Lovforslaget passerte begge hus, til tross for parlamentarisk felles Komiteen for etterretning og sikkerhet (PJCIS) forrige måned, og anbefalte bare lovforslaget hvis regjeringen implementerte de 23 anbefalingene den ga.
Den føderale opposisjonen innførte mandag enda en sikkerhetsrelatert lovforslag til parlamentet som, hvis den ble vedtatt, ville kreve at organisasjoner informerer det australske cybersikkerhetssenteret (ACSC) før en betaling blir utbetalt til en kriminell organisasjon som svar på et ransomware-angrep.
Ransomware Payments Bill 2021 ble introdusert i Representantenes hus av Shadow Assistant Minister for Cyber Security Tim Watts, som benyttet anledningen til å si at regjeringens nåværende posisjon med å fortelle bedrifter å forsvare seg ved å “låse dørene sine for nettkriminelle gjenger” “ikke god nok”.
Som svar på den foreslåtte lovforslaget sa Andrews at hun var åpen for å utforske den.
“Fra regjeringens perspektiv vil vi faktisk at bedrifter skal nå ut, spesielt for ACSC, i tilfelle de får et ransomware-angrep eller de har andre trusler, “sa hun.
” [ACSC] er veldig godt posisjonert for å kunne støtte dem, men de stoler på, i mange tilfeller, om bedrifter som rapporterer eller kontakter dem direkte.
“Jeg har allerede hatt noen diskusjoner om obligatorisk rapportering av ransomware-angrep, og mitt syn på dette stadiet er at det er en rekke synspunkter om det – det er veldig blandet i svaret – det jeg vil gjøre i løpet av de kommende ukene er utforske det mye mer fullstendig. “
Andrew sa at hun ønsker at ACSC skal være bevæpnet med muligheten til å støtte virksomheter som har vært gjenstand for ransomware-angrep, men at bevissthet også var viktig.
< p>“Det jeg ikke vil gjøre er å ende opp med vognen før hesten effektivt, og gå direkte til den obligatoriske rapporteringen av ransomware, der vi ikke har gått gjennom prosessen med å øke bevisstheten om cybersikkerhet, øke bevisstheten om ransomware, å sørge for at vi har på plass alle de riktige mekanismene for å støtte virksomheter, “sa hun.
” Så ja, jeg vil samle etterretningen, men jeg vil sørge for at vi gjør dette på en fornuftig og rasjonell måte.
“Men jeg er åpen for å utforske dette. Jeg har allerede utforsket det. “
RELATERT DEKKNING
Australske politimyndigheter har problemer med dataødeleggelse AI-skjevhet og diskriminering i overflod: Australske grønne vil at Online Safety Bill oppheves Australia skal åpne digitalt ID-system for privat sektor med konsultasjon om ny lovgivning. se på forsyningskjedeteknologier som blockchain: CommitteeNasjonalt kjent australsk selskap advokatert for å motstå ASD-hjelp
Beslektede emner:
Australia Security TV Data Management CXO Data Centers 