Det parlamentariske fælles udvalg for intelligens og sikkerhed (PJCIS) har anbefalet lovforslaget, der vil give regeringen trin-for-beføjelser, når en organisation hurtigt lider af et cyberangreb.
“Udvalget modtog overbevisende beviser for, at kompleksiteten og hyppigheden af cyberangreb på kritisk infrastruktur stiger globalt. Australien er ikke immun, og der er klar erkendelse fra regering og industri, at vi skal gøre mere for at beskytte vores nation mod sofistikerede cybertrusler, især mod vores kritiske infrastruktur, “sagde udvalgsformand senator James Paterson.
Det pågældende lovforslag, lov om ændring af sikkerhedslovgivningen (kritisk infrastruktur) 2020, som i øjeblikket udarbejdet, søger at give regeringen beføjelser til at træde til og yde “bistand” til enheder som reaktion på betydelige cyberangreb på australske systemer, og skaber øgede cybersikkerhedsforpligtelser for disse enheder, der er vigtigst for nationerne, og indfører sektorspecifikke positive sikkerhedsforpligtelser (PSO) for kritiske infrastrukturenheder.
PJCIS bemærkede imidlertid i en rådgivende rapport [PDF], at kun dele af lovforslaget, der fokuserer på offentlige bistandsmekanismer og obligatoriske underretningskrav, bør godkendes, idet de “mindre presserende” aspekter af lovforslaget skal indføres under et sekund, separat lovforslag efter yderligere høring.
PJCIS mener, at denne totrins-tilgang ville gøre det muligt hurtigt at vedtage love for at imødegå truende trusler mod Australiens kritiske infrastruktur, samtidig med at virksomheder og regering får ekstra tid til at designe en lovgivning rammer, der giver langsigtet sikkerhed for landets kritiske infrastruktur.
Sammen med denne hovedanbefaling gav rådgivningen andre anbefalinger, der beskriver, hvordan lovforslaget skal opdeles.
De beføjelser, som PJCIS ønsker at se vedtaget med det samme, er statsstøttemekanismerne, der i daglig tale kaldes “sidste udvej” -beføjelser , hvilket indebærer at give regeringsbeføjelser til at pålægge en enhed at indsamle oplysninger, foretage en handling eller bemyndige Australian Signals Directorate (ASD) til at gribe ind mod cyberangreb. Dette inkluderer også forslaget om installation af software, som indenrigsministeriet hævder ville hjælpe udbydere med at håndtere trusler.
Det ønsker også, at en af PSO'erne i det nuværende lovforslag, der søger at kræve, at organisationer formelt underretter regeringen, hvis de oplevede et cyberangreb, straks vedtages.
Mens PJCIS støtter indførelsen af ”sidste resort “-beføjelser, tech -giganter, der opererer i Australien, såsom Amazon Web Services, Cisco, Microsoft og Salesforce, har alle taget problemer med dem og siger, at der er behov for mere klarhed om, hvordan og hvornår disse beføjelser kan udøves.
< p>I mellemtiden mener Google, at bistandsmekanismerne kun ville give flere problemer.
“Jeg tror ikke, at der er en situation, hvor installation af ASD -software på vores netværk eller vores systemer, især i heden af en hændelse, er faktisk vil forårsage alt undtagen flere problemer, og det vil ikke hjælpe løsningen, og det vil ikke hjælpe problemet ved hånden, “sagde direktør for Google -trusselanalysegruppe Shane Huntley i juli.
“Udvalget erkender, at berørte enheder stadig vil have forbehold over for aktivering af bistandsforanstaltningerne, især inden for teknologisektoren. Udvalget erkender imidlertid, at den potentielle trussel mod kritiske infrastrukturaktiver er for stor til at standse indførelsen af disse vigtige foranstaltninger for længere, “skrev udvalget som svar på disse bekymringer.
Blandt de mindre presserende beføjelser, som PJCIS gerne vil se indført i et senere lovforslag, er de øgede cybersikkerhedsforpligtelser og resterende PSO'er i det nuværende lovforslag. Disse PSO'er vedtager og opretholder et risikostyringsprogram for kritisk infrastruktur for alle farer og giver ejerskab og driftsinformation til registret over kritisk infrastrukturaktiver.
PJCIS sagde, at dette andet lovforslag skulle udarbejdes i samråd med industrien .
Siden lovforslagets indførelse i parlamentet i slutningen af sidste år har ministeriet for indenrigsanliggender gentagne gange anmodet om, at det blev skyndet igennem og sagde, at de sektorspecifikke regler kunne blive fjernet senere.
MERE OM BILL
Indenrigsanliggender beder om et hastværk på lovforslaget om kritisk infrastruktur, så ASD kan handle lovligt
Lov om kritisk infrastruktur har et regerings 'trin i' beføjelser til at mærke problemTech -giganter siger, at regeringens cyberhjælp simpelthen ville forårsage flere problemerTech -giganter er ikke overbeviste Australiens lov om kritisk infrastruktur er i øjeblikket egnet til formål
Logistik- og forsyningsvirksomheder accepterer at hjælpe fra ASD i tilfælde af en cyberhændelse
Relaterede emner:
Australia Security TV Data Management CXO Data Centers 