Campbell er journalist for ZDNet og dækker teknologiens indvirkning på tværs af spektret af regering, lovgivning og regulering.
Fuld biografisk biografisk den 16. december 2021 | Emne: Sikkerhed
I begyndelsen af denne måned blev Australiens sikkerhedslovgivningsændring (Critical Infrastructure) Act 2021 lov for at give regeringens “sidste udvej” beføjelser til at pålægge en enhed at indsamle oplysninger, foretage en handling eller godkende Australian Signals Direktoratet (ASD) til at gribe ind mod cyberangreb.
Lovene indførte også et rapporteringsregime for cyberhændelser for kritiske infrastrukturaktiver.
Disse love blev oprindeligt udformet til at være bredere i omfang, hvor indenrigsanliggender foreslog andre forpligtelser for organisationer inden for kritiske infrastruktursektorer.
Bestemmelser, der søgte at forankre disse forpligtelser, blev dog til sidst udelukket fra lovforslaget om kritisk infrastruktur, efter at det parlamentariske fælles udvalg for efterretning og sikkerhed (PJCIS) anbefalede, at disse “mindre presserende” aspekter blev lovgivet i et andet lovforslag længere fremme.
I disse anbefalinger sagde PJCIS, at lovgivning om disse aspekter senere ville give virksomheder og regering yderligere tid til at sammendesigne en lovgivningsramme, der opnår en bredere konsensus blandt interessenter.
Indre anliggender har nu udgivet et eksponeringsudkast [PDF] til et lovforslag, der fokuserer på disse udelukkede aspekter.
I dette andet lovforslag, kaldet Security Legislation Amendment (Critical Infrastructure Protection) Bill (SLACI Bill), søger den føderale regering at indføre risikostyringsprogrammer for kritiske infrastrukturenheder og forbedrede cybersikkerhedsforpligtelser for de enheder, der er vigtigst for nationerne.
Forpligtelsen til risikostyringsprogram vil, hvis den bliver lov, gælde for enheder inden for de 11 sektorer, der er klassificeret som kritiske infrastruktursektorer i det første lovforslag. De forbedrede cybersikkerhedsforpligtelser vil i mellemtiden gælde for en mindre delmængde af enheder, der besidder aktiver, der er klassificeret som systemer af national betydning.
Ifølge lovforslagets eksponeringsudkast skal risikostyringsprogrammet identificere farer for kritiske infrastrukturaktiver og sandsynligheden for, at de opstår. Derudover vil enheder være forpligtet til at indsende en årlig rapport om risikostyringsprogrammet, og hvis nogen farer havde en væsentlig indvirkning på kritiske infrastrukturaktiver.
Når man ser på de foreslåede forbedrede cybersikkerhedsforpligtelser i lovforslagets eksponeringsudkast, søger regeringen, at enheder, der har systemer af national betydning, har en hændelsesplan til at håndtere cyberangreb. Denne hændelsesplan skulle deles med indenrigsministeren.
Disse enheder vil også være forpligtet til at gennemføre cybersikkerhedsøvelser for at opbygge cyberberedskab, foretage sårbarhedsvurderinger for at identificere sårbarheder til afhjælpning og levere systemoplysninger for at opbygge Australiens situationsbevidsthed. Med hensyn til det foreslåede krav om at levere systemoplysninger, søger lovforslaget at give indre anliggender beføjelse til at tvinge relevante enheder til at installere systeminformationssoftware.
Regeringen har også brugt dette andet lovforslag til at ændre “nøglesektor- og aktivdefinitioner” for at præcisere, hvilke enheder der anses for at have kritiske infrastrukturaktiver.
Blandt de definitioner, der ville blive ændret under lovforslaget, er “kritisk domænenavnssystem”, som præciserer, at et aktiv er kritisk, hvis det administrerer et australsk domænenavnesystem.
Eksponeringsudkastet søger også at ændre definitionen af ”kritisk datalagring eller -behandlingsaktiv” for at give klarhed til industrien om de typer enheder, der vil blive opfattet som ansvarlige enheder for kritiske datalagrings- eller behandlingsaktiver. I henhold til den ændrede definition anses enheder for at have kritisk infrastruktur, hvis de leverer datalagrings- eller behandlingstjenester til det offentlige.
Datalagring er i dette tilfælde defineret som en tjeneste leveret på kommercielt grundlag, der gør det muligt for slutbrugere at gemme eller sikkerhedskopiere data eller en databehandlingstjeneste, der leveres på kommercielt grundlag, der involverer brug af en eller flere computere.
Databehandling omfatter i mellemtiden computeriserede datahandlinger såsom opbevaring, logning, generering, transformation, brug, offentliggørelse, deling, transmission og bortskaffelse.
Home Affairs vil modtage feedback om dette eksponeringsudkast indtil 1. februar.
Relateret dækning
Home Affairs lancerer nye principper for kritisk teknologiforsyningskædesikkerhedHome Affairs i forhandlinger om at give teleselskaber flere blokeringsbeføjelser mod ondsindede meddelelser
Australien påbegynder arbejdet med reformer af elektronisk overvågningslovgivning
USA og Australien indgår CLOUD Act-aftale om grænseoverskridende adgang til elektronisk bevismateriale
Indre anliggender anmoder om et hastværk med lov om kritisk infrastruktur til tillade ASD at handle lovligt
Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre