Minister for indenrigsanliggender Mike Pezzullo
Skærmbillede: Asha Barbaschow/ZDNet
The Ministeriet for Indre Anliggender har anmodet om et hastværk med at passere landets truende kritiske infrastrukturlovforslag og siger, at de sektorspecifikke regler kan blive udryddet efter Royal Assent.
Blandt andet lovforslaget om sikkerhedslovgivning (kritisk infrastruktur) 2020 ville give regeringen mulighed for at yde “bistand” til enheder som reaktion på betydelige cyberangreb på australske systemer. Dette inkluderer forslaget om installation af software, som indenrigsanliggender hævder ville hjælpe udbydere med at håndtere trusler.
Det ville også indføre en positiv sikkerhedsforpligtelse (PSO) for kritiske infrastrukturenheder understøttet af sektorspecifikke krav og obligatoriske rapporteringskrav.
Sektor-for-sektor PSO-reglerne mangler endnu at blive skrevet, men Home Sagsekretær Mike Pezzullo sagde, at disse kunne komme, efter at lovforslaget bliver lov. Han opfordrede til, at loven først blev vedtaget og sagde, at der var et presserende behov for bistandsbeføjelser for at tillade Australian Signals Directorate (ASD) at handle lovligt og hjælpe enheder, der blev ramt af et cyberangreb.
“Det er [foranstaltninger], som jeg helt ærligt vil foretrække at have i lovbøgerne i aften,” sagde Pezzullo til Det Parlamentariske Blandede Udvalg om Efterretning og Sikkerhed (PJCIS) torsdag.
“Regeringens bistand foranstaltninger er dem, der … helt sikkert holder mig vågen om natten, manglende evne – med alle de beføjelser og kapaciteter, som ASD, samt rækkevidde, de har til vores militære informationskrig, ikke ved lov kan indsættes på vores netværk, lige som vi taler, lige nu – det er det presserende hast.
“Det, jeg opfordrer dette udvalg til at overveje klart og direkte, er Australiens førende informationsoperationsbureau, Australian Signals Directorate, evne til i nødstilfælde at give et mere effektivt hændelsessvar, end noget selskab overhovedet kunne.”
Senatorer rejste bekymring over, at ministeren ville få beføjelse til at fastsætte reglerne frem for Parlamentet. Pezzullo sagde, at hver parlamentslov udpeger en beslutningstager, og i dette tilfælde var det indenrigsministeren.
Han argumenterede for, at ministeren skal træffe deres afgørelse i forhold til tærskler og definitioner i lovgivningen og fremførte, at det ville være en opslidende proces, hvis hver regel skulle komme tilbage til parlamentet.
“Vil det være rettidig med at have stemmer fra Parlamentet … i det tilfælde, hvor en forpligtelse måske hurtigt skal flyttes? ” spurgte han.
Gendanner antydningen om, at lovforslaget var “halvbagt” Pezzullo bemærkede også, at reglerne blev formet på en meddesignet måde.
Høring af reglerne er allerede i gang, hvor afdelingen går fremad, som om loven blev vedtaget.
Pezzullo sagde, at hver udpeget sektor sandsynligvis ikke ville have deres respektive regler færdiggjort på samme tid. En del af problemet, sagde Pezzullo, var engagementet fra den anden side.
“Vi er i et cirkulært paradoks, indtil vi forstår, hvad vores juridiske forpligtelser vil være,” sagde han. “Og ikke urimeligt, det er store virksomheder, der har bestyrelser, de har pligter i henhold til selskaber og anden lov … så vi kan møde op til møder, og vi kan sige, 'her er et udkast til regel, vi vil gerne have dine kommentarer 'og typisk kommer de sporede ændringer ikke tilbage fra teknikerne, men fra advokaterne.
“Det er fuldstændig forståeligt … men det, jeg siger, er, at så længe du har den spiral af 'vi er ikke helt sikre' og regeringen siger 'ja, men vi vil gerne have dit tekniske syn', uden tvivl vil reglerne aldrig være tilfredsstillende, for på et tidspunkt skal du sige 'pen ned, eksamen over'. “
Uden selve lovforslaget ville co-design processerne imidlertid ikke være en lovgivningsmæssig retning.
Under hensyntagen til det hævdede Pezzullo, at afdelingens manglende evne til at besvare specifikke spørgsmål fra en bestemt sektor ikke fjerner behovet for, at enten lovforslaget vedtages eller reglen fastsættes.
Mange indsendere til PJCIS er forsigtige med, at lovforslaget ville kopiere eksisterende lovgivningsmæssige retningslinjer, f.eks. Inden for telekommunikation, sundhed og bank.
“Indenrigsministeriet er regulator i henhold til teleloven i TSSR -ordningen faktisk er det på min pen … jeg er tilfældigvis den betjent, og jeg kan fortælle dig, TSSR er utilstrækkelig til dette formål, jeg kan absolut forsikre dig, fordi vi er regulator, “sagde han.
< p>“Hvis nogen kan forsikre mig om, at den, der regulerer disse apoteksaftaler, har adgang til tophemmelige kodeordoplysninger, der har en dyb forståelse af trusselsmiljøet og ved, hvilke defensive evner der kan monteres yderligere i ASD -regi, så kommer jeg måske til en anden opfattelse. “
Han sagde, at han ville fraråde den primære lovgivning at fange det specificitetsniveau, der ville kræves i reglerne for hver sektor – ikke fordi indenrigsanliggender ønskede at sammensætte dem som det går med, og heller ikke at den ikke forstår hver sektor.
“Vi har et stærkt fremskreden synspunkt, som vi respekterer dette udvalg om den relative balance, der skal findes i, hvad der er i den primære lovgivning, og hvad der skal være tilgængeligt i regelfremstillingsprocessen,” gentog han.
Ligesom Amazon Web Services, Microsoft, Google og Atlassian har alle vejet ind på den truende regning, idet de to sidstnævnte virksomheder fortalte PJCIS i sidste måned, at de ikke havde brug for hjælp fra den australske regering, og at installationen af software ville gøre mere skade end gavn.
“Modenheden og raffinementen hos de virksomheder, som vi har hørt fra, min form for øjeblikkelig reaktion er, ja, det håber jeg ikke. Det er præcis det, vi håber, at deres holdning er, at de ikke har brug for os til at hjælpe dem med at forsvare deres netværk, “ASD-generaldirektør Rachel Noble fortalte PJCIS.
“Vores foretrukne erfaring er, at vi kun ville installere software, som i øjeblikket sker med enheder, der arbejder sammen med os, når denne enhed ikke har mulighed for at levere den tekniske telemetri eller systemoplysninger for at hjælpe dem med en hændelse svar.
“Denne slags idé om, at ASD kommer til at løbe rundt og lægge software vildt, er lidt af en karikatur. Vores operationelle præference er, at de kan give os det, uden at det behøver at forekomme, og i mange tilfælde gør det absolut. “
Pezzullo sagde, at regeringens første præference arbejdede i samarbejde og i partnerskab med virksomheden.
“Risikoen for Australiens nationale interesser er imidlertid efter regeringens opfattelse for stor til ikke at have klare, etablerede rammer forud for en hændelse til at fungere som en sidste udvej i en national nødsituation, hvis en enhed er uvillig eller ude af stand til at gøre det, der er nødvendigt, “sagde han.
MERE OM REGNINGEN
Lov om kritisk infrastruktur har et regerings 'trin i' beføjelser til at mærke problemTech -giganter siger, at statslig cyberhjælp simpelthen ville forårsage flere problemerLogistik og forsyningsselskaber tilbyder at hjælpe ASD i tilfælde af en cyberhændelse
Relaterede emner:
Australia Security TV Data Management CXO Data Centers 