Campbell er journalist for ZDNet, og dekker teknologiens innvirkning på tvers av myndighetene, lover og reguleringer.
Full bio 16. desember 2021 | Emne: Sikkerhet
På begynnelsen av denne måneden ble Australias sikkerhetslovgivningsendringer (Critical Infrastructure) Act 2021 lov for å gi regjeringen “siste utvei”-fullmakter til å pålegge en enhet å samle informasjon, foreta en handling eller autorisere Australian Signals Direktoratet (ASD) for å gripe inn mot cyberangrep.
Lovene introduserte også et rapporteringsregime for cyberhendelser for kritiske infrastrukturressurser.
Disse lovene ble opprinnelig utformet for å være bredere i omfang, med innenrikssaker som foreslo andre forpliktelser for organisasjoner innen kritiske infrastruktursektorer.
Bestemmelser som forsøkte å forankre disse forpliktelsene ble imidlertid til slutt ekskludert fra lovforslaget om kritisk infrastruktur, etter at den parlamentariske felleskomiteen for etterretning og sikkerhet (PJCIS) anbefalte at disse “mindre presserende” aspektene skulle lovfestes i et annet lovforslag på veien.
I disse anbefalingene sa PJCIS at lovfesting av disse aspektene senere ville gi bedrifter og myndigheter ekstra tid til å samutforme et regelverk som får bredere konsensus blant interessenter.
Home Affairs har nå gitt ut et eksponeringsutkast [PDF] av et lovforslag som fokuserer på de ekskluderte aspektene.
I dette andre lovforslaget, kalt Security Legislation Amendment (Critical Infrastructure Protection) Bill (SLACI Bill), søker den føderale regjeringen å innføre risikostyringsprogrammer for kritiske infrastrukturenheter og forbedrede cybersikkerhetsforpliktelser for de enhetene som er viktigst for nasjonene.
Forpliktelsen til risikostyringsprogram, dersom den skulle bli lov, vil gjelde enheter innenfor de 11 sektorene klassifisert som kritiske infrastruktursektorer i det første lovforslaget. De utvidede cybersikkerhetsforpliktelsene vil i mellomtiden gjelde for et mindre undersett av enheter som har eiendeler som er klassifisert som systemer av nasjonal betydning.
I henhold til lovforslagets eksponeringsutkast, ville risikostyringsprogrammet måtte identifisere farer for kritiske infrastrukturressurser og sannsynligheten for at de inntreffer. I tillegg vil enhetene være pålagt å sende inn en årlig rapport om risikostyringsprogrammet og om noen farer hadde en betydelig innvirkning på kritiske infrastrukturressurser.
Når vi ser på de foreslåtte utvidede cybersikkerhetsforpliktelsene i lovforslagets eksponeringsutkast, søker regjeringen at enheter som har systemer av nasjonal betydning, skal ha en hendelsesresponsplan for å håndtere cyberangrep. Denne handlingsplanen må deles med innenriksministeren.
Disse enhetene vil også bli pålagt å gjennomføre cybersikkerhetsøvelser for å bygge cyberberedskap, foreta sårbarhetsvurderinger for å identifisere sårbarheter for utbedring, og gi systeminformasjon for å bygge Australias situasjonsbevissthet. Når det gjelder det foreslåtte kravet om å gi systeminformasjon, søker lovforslaget å gi innenrikssaker makt til å tvinge relevante enheter til å installere systeminformasjonsprogramvare.
Regjeringen har også brukt dette andre lovforslaget til å endre “nøkkelsektor- og aktivadefinisjoner” for å klargjøre hvilke enheter som anses å inneha kritiske infrastrukturressurser.
Blant definisjonene som vil bli endret under lovforslaget er “kritisk domenenavnsystem”, som klargjør at en eiendel er kritisk hvis den administrerer et australsk domenenavnsystem.
Eksponeringsutkastet søker også å endre definisjonen av “kritisk datalagring eller prosesseringsmiddel” for å gi klarhet til industrien om hvilke typer enheter som vil bli tatt opp som ansvarlige enheter for kritisk datalagring eller behandlingsressurser. I henhold til den endrede definisjonen anses enheter å ha kritisk infrastruktur hvis de leverer datalagrings- eller behandlingstjenester til myndighetene.
Datalagring er i dette tilfellet definert som en tjeneste levert på kommersielt grunnlag som gjør det mulig for sluttbrukere å lagre eller sikkerhetskopiere data eller en databehandlingstjeneste levert på kommersielt grunnlag som innebærer bruk av en eller flere datamaskiner.
Databehandling inkluderer i mellomtiden datastyrte datahandlinger som oppbevaring, logging, generering, transformasjon, bruk, avsløring, deling, overføring og avhending.
Home Affairs vil godta tilbakemelding på dette eksponeringsutkastet frem til 1. februar.
Relatert dekning
Home Affairs lanserer nye prinsipper for kritisk teknologisikkerhet i forsyningskjeden. Telcos flere blokkeringsmyndigheter mot ondsinnede meldinger
Australia starter arbeidet med lovreformer for elektronisk overvåking
USA og Australia inngår CLOUD Act-avtale for grenseoverskridende tilgang til elektronisk bevis
Innenriksdepartementet ber om et hastverk med lovforslaget om kritisk infrastruktur til la ASD handle lovlig
Australia | Sikkerhets-TV | Databehandling | CXO | Datasentre