Mike Pezzullo, segretario del dipartimento degli affari interni
Screenshot: Asha Barbaschow/ZDNet
Il Il Dipartimento degli affari interni ha richiesto un'accelerazione per l'approvazione dell'incombente legge sulle infrastrutture critiche del paese, affermando che le regole specifiche del settore potrebbero essere annullate in seguito all'assenso reale.
Tra le altre cose, il Security Legislation Amendment (Critical Infrastructure) Bill 2020 consentirebbe al governo di fornire “assistenza” alle entità in risposta a significativi attacchi informatici ai sistemi australiani. Ciò include la proposta per l'installazione di software che secondo Affari interni aiuterebbe i fornitori a gestire le minacce.
Introdurrebbe anche un obbligo di sicurezza positivo (OSP) per le entità delle infrastrutture critiche, supportato da requisiti specifici del settore e obblighi di segnalazione obbligatoria.
Le regole OSP settore per settore devono ancora essere scritte, ma Home Il segretario agli affari Mike Pezzullo ha detto che questi potrebbero arrivare dopo che il disegno di legge diventerà legge. Ha chiesto che la legge fosse approvata prima, affermando che c'era un'urgente necessità di poteri di assistenza per consentire all'Australian Signals Directorate (ASD) di agire legalmente e assistere le entità colpite da un attacco informatico.
“Queste [sono] misure che, francamente, preferirei avere sui libri di legge stasera”, ha detto Pezzullo giovedì alla Commissione parlamentare mista per l'intelligence e la sicurezza (PJCIS).
“L'assistenza del governo le misure sono quelle che … certamente mi tengono sveglio la notte, l'incapacità – con tutti i poteri e le capacità che l'ASD, così come la portata che hanno nella nostra capacità di guerra di informazione militare, non può per legge essere schierato sul nostro reti, proprio mentre parliamo, proprio ora: questa è l'urgenza pressante.
“Ciò che esorto questo comitato a prendere in considerazione in modo chiaro e diretto è la capacità della principale agenzia australiana per le operazioni di informazione, l'Australian Signals Directorate, di essere in grado, in caso di emergenza, di fornire una risposta agli incidenti più efficace di qualsiasi altra azienda”.
I senatori hanno espresso la preoccupazione che il ministro avrebbe il potere di determinare le regole, piuttosto che il Parlamento. Pezzullo ha affermato che ogni atto del Parlamento designa un decisore, e in questo caso si tratta del ministro degli Interni.
Ha sostenuto che il ministro deve prendere una decisione contro le soglie e le definizioni stabilite nella legislazione e ha sostenuto che sarebbe un processo estenuante se ogni regola dovesse tornare al Parlamento.
“Lo farebbe. essere tempestivo per avere voti del Parlamento … nel caso in cui forse un obbligo deve essere spostato rapidamente?” chiese.
Confutando l'idea che il disegno di legge fosse “mezzo cotto”, Pezzullo ha anche notato che le regole venivano modellate in modo co-progettato.
La consultazione sulle regole è già in corso, con il dipartimento che va avanti come se la legge fosse approvata.
Pezzullo ha affermato che è improbabile che ogni settore designato abbia le rispettive regole finalizzate allo stesso tempo. Parte del problema, ha detto Pezzullo, era l'ingaggio dall'altra parte.
“Siamo in una sorta di paradosso circolare finché non capiamo quali saranno i nostri obblighi legali”, ha detto. “E non irragionevolmente, queste sono grandi aziende che hanno consigli di amministrazione, hanno doveri in base alle società e ad altre leggi … quindi possiamo presentarci alle riunioni e possiamo dire: 'ecco una bozza di regola, vorremmo i tuoi commenti ' e in genere, i cambiamenti tracciati tornano non dai tecnici ma dagli avvocati.
“È del tutto comprensibile … ma quello che sto dicendo è che per così tanto tempo, dato che hai quella spirale di 'non siamo abbastanza sicuri' e il governo che dice 'sì, ma vorremmo il tuo punto di vista tecnico', probabilmente, le regole non saranno mai soddisfacenti perché a un certo punto, devi dire, 'penne giù, esame finito'.”
Senza il disegno di legge stesso, tuttavia, i processi di co-progettazione non sarebbero essere una direzione legislativa.
Tenendo conto di ciò, Pezzullo ha sostenuto che l'incapacità del dipartimento di rispondere a domande specifiche di un settore specifico non toglie la necessità né dell'approvazione del disegno di legge né della fissazione della regola.
Molti firmatari del PJCIS sono cauti sul fatto che il disegno di legge duplichi le direttive legislative esistenti come in telecomunicazioni, sanità e banche.
“Il Dipartimento degli affari interni è il regolatore ai sensi della legge sulle telecomunicazioni, dello schema TSSR. , in effetti, è sulla mia penna … mi capita di essere quell'ufficiale, e posso dirti che il TSSR è inadeguato a questo scopo, posso assolutamente assicurarti perché siamo il regolatore”, ha detto.
< p>“Se qualcuno può assicurarmi che chiunque regoli quegli accordi farmaceutici ha accesso a informazioni di parole in codice top secret, che ha una profonda conoscenza dell'ambiente delle minacce e sa quali capacità difensive possono essere ulteriormente sviluppate attraverso gli auspici dell'ASD, allora potrei venire a una visione diversa.”
Ha detto che avrebbe sconsigliato la legislazione primaria che cattura il livello di specificità che sarebbe richiesto nelle regole per ogni settore – non perché gli Affari Interni volessero inventarle come va avanti, né che non capisca ogni settore.
“Abbiamo una visione fortemente avanzata che sottoponiamo rispettosamente a questa commissione riguardo al relativo equilibrio che dovrebbe essere raggiunto tra ciò che è nella legislazione primaria e ciò che dovrebbe essere disponibile nel processo normativo”, ha ribadito.
Amazon Web Services, Microsoft, Google e Atlassian hanno tutti pesato sull'incombente disegno di legge, con le ultime due società che hanno dichiarato al PJCIS il mese scorso che non avevano bisogno dell'assistenza del governo australiano e che l'installazione del software sarebbe fai più male che bene.
“La maturità e la raffinatezza delle aziende di cui abbiamo sentito parlare, il mio tipo di risposta immediata è, beh, spero di no. Questo è esattamente ciò che speriamo che la loro posizione sia che non abbiano bisogno di noi per aiutarli a difendere le loro reti, Il direttore generale dell'ASD Rachel Noble ha detto al PJCIS.
“La nostra esperienza preferenziale è che installeremmo solo software, cosa che accade al momento con entità che lavorano con noi in collaborazione quando quell'entità non ha la capacità di fornire la telemetria tecnica o le informazioni di sistema, al fine di assisterli in un incidente risposta.
“Questo tipo di idea che l'ASD andrà in giro e metterà software volenti o nolenti è un po' una caricatura. La nostra preferenza operativa è che possano fornircelo senza che ciò accada, e in molti casi lo fa assolutamente.”
Pezzullo ha affermato che la prima preferenza del governo è stata quella di lavorare in modo collaborativo e in partnership con l'entità.
“Tuttavia, i rischi per gli interessi nazionali australiani, secondo il governo, sono troppo grandi per non avere un quadro chiaro e stabilito in atto prima di un incidente per operare come ultima risorsa in un'emergenza nazionale, nel caso in cui un'entità non sia disposta o non è in grado di fare ciò che è necessario”, ha detto.
ALTRO SULLA DISPOSIZIONE
Infrastrutture critiche Il disegno di legge ha un potere di “intervento” del governo nell'etichettare il problema I giganti della tecnologia affermano che l'assistenza informatica del governo causerebbe semplicemente più problemiLogistica e i fornitori di servizi pubblici accettano di aiutare l'ASD in caso di incidente informatico
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 