Den parlamentariska gemensamma kommittén för underrättelse och säkerhet (PJCIS) har rekommenderat propositionen som skulle ge regeringen steg-in-befogenheter när en organisation som lider av en cyberattack snabbt kan godkännas.
“Kommittén fick övertygande bevis på att komplexiteten och frekvensen av cyberattacker mot kritisk infrastruktur ökar globalt. Australien är inte immun och det finns ett klart erkännande från regering och industri att vi måste göra mer för att skydda vår nation mot sofistikerade cyberhot, särskilt mot vår kritiska infrastruktur “, sade kommitténs ordförande senator James Paterson.
Den aktuella propositionen, lagstiftningsändringen för säkerhetslagstiftning (kritisk infrastruktur) 2020, som för närvarande utarbetas, syftar till att ge regeringen befogenheter att gå in och ge “bistånd” till enheter som svar på betydande cyberattacker mot australiensiska system, skapa förbättrade cybersäkerhetsförpliktelser för de enheter som är viktigast för nationerna och inför sektorspecifika positiva säkerhetsförpliktelser (PSO) för kritiska infrastrukturföretag.
PJCIS noterade dock i en rådgivande rapport [PDF] att endast delar av propositionen som fokuserar på statliga biståndsmekanismer och obligatoriska anmälningskrav bör godkännas, med de “mindre brådskande” aspekterna av propositionen som ska införas under en sekund, separat proposition efter ytterligare samråd.
PJCIS anser att detta tvåstegs-tillvägagångssätt skulle möjliggöra snabba lagar för att motverka hot mot Australiens kritiska infrastruktur, samtidigt som det ger företag och regering ytterligare tid att samutforma en lagstiftning ramverk som ger långsiktig säkerhet för landets kritiska infrastruktur.
Tillsammans med denna huvudrekommendation gav rådgivningen andra rekommendationer som beskriver hur propositionen ska delas upp.
De befogenheter som PJCIS vill se passerade omedelbart är de statliga biståndsmekanismerna, som i folkmun kallas “sista utväg” , vilket innebär att man ger regeringen befogenhet att uppmana en enhet att samla in information, vidta en åtgärd eller ge Australiens signaldirektorat (ASD) tillstånd att ingripa mot cyberattacker. Detta inkluderar också förslaget om programvara som ska installeras som avdelningen för inrikes frågor hävdar skulle hjälpa leverantörer att hantera hot.
Det vill också att en av PSO: erna i den aktuella propositionen, som försöker kräva att organisationer formellt meddelar regeringen om de upplevde en cyberattack, ska omedelbart godkännas.
Medan PJCIS stöder införandet av den “sista resort “-makter, tekniska jättar som är verksamma i Australien, såsom Amazon Web Services, Cisco, Microsoft och Salesforce, har alla tagit problem med dem och säger att mer tydlighet behövs om hur och när dessa befogenheter kan utövas.
< p>Samtidigt tror Google att biståndsmekanismerna bara skulle ge fler problem.
“Jag tror inte att det finns en situation där installation av ASD -programvara på våra nätverk eller våra system, särskilt i hettan av en incident, är kommer faktiskt att orsaka någonting förutom fler problem, och det kommer inte att hjälpa lösningen och det kommer inte att hjälpa problemet, säger Google -chefen för hotanalysgrupp Shane Huntley i juli.
“Kommittén erkänner att berörda enheter fortfarande kommer att ha reservationer för att möjliggöra biståndsåtgärder, särskilt inom tekniksektorn. Kommittén erkänner dock att det potentiella hotet mot kritiska infrastrukturtillgångar är för stort för att stoppa införandet av dessa viktiga åtgärder för längre “, skrev kommittén som svar på dessa problem.
Bland de mindre brådskande befogenheter som PJCIS skulle vilja införa i en senare proposition är de ökade cybersäkerhetsförpliktelserna och kvarvarande PSO i den nuvarande propositionen. Dessa PSO antar och upprätthåller ett riskhanteringsprogram för kritisk infrastruktur för alla faror och tillhandahåller ägar- och driftsinformation till registret över kritisk infrastrukturtillgång.
PJCIS sade att denna andra proposition bör utarbetas i samråd med industrin. .
Sedan propositionen introducerades i parlamentet i slutet av förra året har inrikesdepartementet upprepade gånger begärt att det ska skyndas igenom och säger att de sektorsspecifika reglerna kan bli utplånade senare.
MER PÅ BILL
Inrikes frågor ber om att skynda på propositionen för kritisk infrastruktur för att tillåta ASD att agera lagligt
Critical infrastruktur Bill har en regerings “steg i” befogenheter märkningsproblemTech -jättar säger att statligt cyberhjälp helt enkelt skulle orsaka fler problemTech -jättar är inte övertygade Australiens proposition för kritisk infrastruktur är för närvarande lämplig för ändamål
Logistik- och verktygsleverantörer går med på att hjälpa från ASD i händelse av en cyberincident
Relaterade ämnen:
Australia Security TV Data Management CXO Data Center 