Den parlamentariske blandingskomiteen for etterretning og sikkerhet (PJCIS) har anbefalt lovforslaget som vil gi regjeringen tiltaksbeføyelser når en organisasjon lider av et cyberangrep som skal vedtas raskt.
“Komiteen mottok overbevisende bevis på at kompleksiteten og hyppigheten av cyberangrep på kritisk infrastruktur øker globalt. Australia er ikke immun og det er klar erkjennelse fra myndigheter og industri at vi må gjøre mer for å beskytte nasjonen vår mot sofistikerte cyber -trusler, spesielt mot vår kritiske infrastruktur, “sa komiteeleder senator James Paterson.
Det aktuelle lovforslaget, lov om sikkerhetslovgivning (kritisk infrastruktur) 2020, som nå utarbeidet, søker å gi regjeringen fullmakter til å gå inn og gi “bistand” til enheter som svar på betydelige cyberangrep på australske systemer, og skape forbedrede cybersikkerhetsforpliktelser for de enhetene som er viktigst for nasjonene, og innfører sektorspesifikke positive sikkerhetsforpliktelser (PSO) for kritiske infrastrukturforetak.
PJCIS bemerket imidlertid i en rådgivende rapport [PDF] at bare deler av lovforslaget som fokuserer på statlige bistandsmekanismer og obligatoriske varslingskrav bør passeres, med de “mindre presserende” aspektene av lovforslaget som skal innføres i løpet av et sekund, separat lovforslag etter ytterligere konsultasjon.
PJCIS mener at denne totrinns-tilnærmingen vil gjøre det mulig å raskt gjennomføre lover for å motvirke truende trusler mot Australias kritiske infrastruktur, samtidig som virksomheter og myndigheter får ekstra tid til å designe en lovgivning rammeverk som gir langsiktig sikkerhet for landets kritiske infrastruktur.
Sammen med denne hovedanbefalingen ga rådgivningen andre anbefalinger som beskriver hvordan lovforslaget skal deles.
Maktene som PJCIS ønsker å se vedtatt umiddelbart er myndighetens bistandsmekanismer, som i daglig tale kalles “siste utvei” , som innebærer å gi myndighetene makt til å be en enhet om å innhente informasjon, foreta en handling eller autorisere Australian Signals Directorate (ASD) å gripe inn mot cyberangrep. Dette inkluderer også forslaget om installering av programvare som innenriksdepartementet hevder ville hjelpe leverandører med å håndtere trusler.
Den ønsker også at en av PSO -ene i det nåværende lovforslaget, som søker å kreve at organisasjoner formelt varsler regjeringen hvis de opplevde et cyberangrep, skal bli vedtatt umiddelbart.
Mens PJCIS støtter innføringen av “siste resort “-makter, teknologigiganter som opererer i Australia, for eksempel Amazon Web Services, Cisco, Microsoft og Salesforce, har alle tatt problemer med dem og sa at det er behov for mer klarhet om hvordan og når disse maktene kan utøves.
< p>I mellomtiden tror Google at bistandsmekanismene bare ville gi flere problemer.
“Jeg tror ikke at det er en situasjon der installasjon av ASD -programvare på våre nettverk eller våre systemer, spesielt i heten av en hendelse, er faktisk kommer til å forårsake noe annet enn flere problemer, og det kommer ikke til å hjelpe løsningen, og det kommer ikke til å hjelpe problemet, “sa direktør for Google trusselanalysegruppe Shane Huntley i juli.
“Komiteen erkjenner at berørte enheter fortsatt vil ha forbehold om aktivering av hjelpetiltakene, spesielt innen teknologisektoren. Imidlertid erkjenner utvalget at den potensielle trusselen mot kritiske infrastrukturtilstander er for stor til å stoppe innføring av disse viktige tiltakene for lenger, “skrev komiteen som svar på disse bekymringene.
Blant de mindre presserende myndighetene som PJCIS gjerne vil se introdusert i et senere lovforslag, er de forbedrede cybersikkerhetsforpliktelsene og gjenværende PSOer i det nåværende lovforslaget. Disse PSO-ene vedtar og opprettholder et risikostyringsprogram for kritisk infrastruktur for alle farer, og gir eierskap og driftsinformasjon til Register of Critical Infrastructure Asset.
PJCIS sa at dette andre lovforslaget bør utarbeides i samråd med industrien. .
Siden lovforslaget ble introdusert i parlamentet i slutten av fjoråret, har innenriksdepartementet gjentatte ganger bedt om at det skal skyndes igjennom og sier at de sektorspesifikke reglene kan bli utryddet senere.
MER PÅ BILL
Innenrikesaker ber om et hastverk med lov om kritisk infrastruktur for å la ASD handle lovlig
Lov om kritisk infrastruktur har et regjeringens 'skritt i' makt -merking av problemer. Australias lov om kritisk infrastruktur er for øyeblikket egnet for formål
Logistikk- og verktøyleverandører godtar hjelp fra ASD i tilfelle en cyberhendelse
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 