Institutionen för inrikesminister Mike Pezzullo
Skärmdump: Asha Barbaschow/ZDNet
The Institutionen för inrikesfrågor har begärt en brådska för godkännandet av landets hotande kritiska infrastrukturproposition och säger att de sektorsspecifika reglerna kan bli utplånade efter Royal Assent.
Bland annat skulle säkerhetslagstiftningsändringen (kritisk infrastruktur) proposition 2020 möjliggöra för regeringen att ge “bistånd” till enheter som svar på betydande cyberattacker mot australiensiska system. Detta inkluderar förslaget om att installera programvara som inrikes frågor hävdar skulle hjälpa leverantörer att hantera hot.
Det skulle också införa en positiv säkerhetsförpliktelse (PSO) för kritiska infrastrukturenheter, som stöds av sektorsspecifika krav och obligatoriska rapporteringskrav.
Sektor-för-sektor PSO-reglerna är ännu inte skrivna, men Home Affärssekreterare Mike Pezzullo sa att dessa kan komma efter att lagförslaget blir lag. Han krävde att lagen först skulle antas och sade att det var ett brådskande behov av assistansbefogenheterna för att tillåta Australian Signals Directorate (ASD) att agera lagligt och bistå enheter som drabbats av en cyberattack.
“Det är [åtgärder] som jag uppriktigt sagt föredrar att ha i stadgarna i kväll”, sa Pezzullo till parlamentariska gemensamma kommittén för intelligens och säkerhet (PJCIS) på torsdag.
“Regeringens bistånd åtgärder är de som … förvisso håller mig vaken på natten, oförmågan – med alla de befogenheter och förmågor som ASD, liksom den räckvidd som de har i vår militära informationskrigförmåga, kan enligt lag inte läggas ut på vår nätverk, precis när vi talar, just nu – det är det brådskande.
“Det jag uppmanar den här kommittén att ta tydliga och direkta hänsyn till är förmågan hos Australiens främsta informationsoperationsbyrå, Australian Signals Directorate, att i en nödsituation kunna ge en mer effektiv incidenthantering än något företag möjligen skulle kunna göra.”
Senatorer väckte oro över att ministern skulle ges befogenhet att bestämma reglerna, snarare än parlamentet. Pezzullo sa att varje parlamentslag utser en beslutsfattare, och i detta fall var det inrikesministern.
Han hävdade att ministern måste bestämma sig mot trösklar och definitioner i lagstiftningen och gjorde gällande att det skulle vara en ansträngande process om varje regel måste komma tillbaka till parlamentet.
“Skulle det vara i tid att ha röster från parlamentet … i det fall där en skyldighet kanske måste flyttas snabbt? ” han frågade.
Motbevisar förslaget att propositionen var “halvbakad” Pezzullo noterade också att reglerna formades på ett meddesignat sätt.
Samråd om reglerna pågår redan, avdelningen går framåt som om lagen antogs.
Pezzullo sa att det var osannolikt att varje utsedd sektor skulle få sina respektive regler slutförda samtidigt. En del av frågan, sade Pezzullo, var engagemanget från andra sidan.
“Vi är i en cirkulär paradox tills vi förstår vad våra rättsliga skyldigheter kommer att vara”, sa han. “Och inte orimligt, det här är stora företag som har styrelser, de har uppgifter enligt företag och annan lag … så att vi kan möta och vi kan säga,” här är ett utkast till regel, vi vill ha dina kommentarer 'och vanligtvis kommer de spårade ändringarna inte tillbaka från teknikerna utan från advokaterna.
“Det är fullt förståeligt … men vad jag säger är att så länge, som du har den spiralen” vi är inte helt säkra “och regeringen säger” ja, men vi skulle vilja ha din tekniska syn “, utan tvekan kommer reglerna aldrig att vara tillfredsställande eftersom du vid något tillfälle måste säga “pennor ner, examen över”. “
Utan propositionen själv skulle dock meddesignprocesserna inte vara en lagstiftningsinriktning.
Med hänsyn till detta hävdade Pezzullo att avdelningens oförmåga att svara på specifika frågor från en specifik sektor inte tar bort behovet av att antingen propositionen ska godkännas eller att regeln ska fastställas.
Många inlämnade till PJCIS är försiktiga med att lagförslaget skulle duplicera befintliga lagstiftningsregler som inom telekommunikation, hälsa och bank.
“Institutionen för inrikes frågor är tillsynsmyndighet enligt telekommunikationslagen i TSSR-systemet Det är faktiskt på min penna … Jag råkar vara den tjänstemannen, och jag kan säga att TSSR är otillräckligt för detta ändamål, jag kan absolut försäkra dig om att vi är tillsynsmyndigheten, säger han.
< p>“Om någon kan försäkra mig om att den som reglerar apoteksavtalen har tillgång till topphemlig kodordinformation, som har en djup förståelse för hotmiljön och vet vilken defensiv kapacitet som kan monteras ytterligare genom ASD -regi, då kan jag komma till en annan uppfattning. “
Han sa att han skulle avråda från att den primära lagstiftningen fångar upp den specificitetsnivå som skulle krävas i reglerna för varje sektor – inte för att inrikes frågor ville göra dem som den går med, inte heller att den inte förstår varje sektor.
“Vi har en starkt avancerad uppfattning som vi med respekt för det här utskottet ger om den relativa balansen som bör uppnås om vad som finns i den primära lagstiftningen och vad som bör finnas tillgängligt i regleringsprocessen”, upprepade han.
Som Amazon Web Services, Microsoft, Google och Atlassian har alla vägt in på den förestående räkningen, de två sistnämnda företagen berättade för PJCIS förra månaden att de inte behövde hjälp från den australiensiska regeringen och att installationen av programvara skulle gör mer skada än nytta.
“Mogenhet och sofistikering av de företag som vi har hört av, min typ av omedelbara svar är, ja, jag hoppas inte. Det är precis vad vi hoppas att deras position är att de inte behöver oss för att hjälpa dem att försvara sina nätverk, “Generaldirektör för ASD Rachel Noble berättade för PJCIS.
“Vår preferenserfarenhet är att vi bara skulle installera programvara, vilket sker just nu med enheter som arbetar tillsammans med oss när den enheten inte har förmågan att tillhandahålla teknisk telemetri eller systeminformation, för att hjälpa dem med en incident svar.
“Den här typen av idéer som ASD kommer att köra runt och lägga programvara vill-nilly är lite av en karikatyr. Vår operativa preferens är att de kan ge oss det utan att det behöver inträffa, och i många fall gör det absolut det. “
Pezzullo sa att regeringens första preferens var att arbeta tillsammans och i partnerskap med enheten.
“Men riskerna för Australiens nationella intressen, enligt regeringen, är för stora för att inte ha några tydliga, fastställda ramar inför en incident för att fungera som en sista utväg i en nationell nödsituation, om en enhet skulle vara ovillig eller oförmögen att göra det som är nödvändigt “, sa han.
MER PÅ RÄTTSAKTEN
Lag om kritisk infrastruktur har ett statligt 'steg i' befogenheter att märka problem. Teknikjättar säger att statligt cyberhjälp helt enkelt skulle orsaka fler problem Logistik och leverantörer av verktyg tillhandahåller hjälp från ASD i händelse av en cyberincident
Relaterade ämnen:
Australien Security TV Data Management CXO Data Centers 