Campbell är journalist för ZDNet, som täcker teknikens inverkan över hela spektrumet av myndigheter, lagar och förordningar.
Fullständig bio den 16 december 2021 | Ämne: Säkerhet
I början av denna månad blev Australiens säkerhetslagstiftning (Critical Infrastructure) Act 2021 lag för att ge regeringen “sista utväg” befogenheter att anvisa en enhet att samla in information, vidta en åtgärd eller auktorisera Australian Signals Direktoratet (ASD) för att ingripa mot cyberattacker.
Lagarna införde också ett rapporteringssystem för cyberincidenter för kritiska infrastrukturtillgångar.
De här lagarna utarbetades ursprungligen för att ha en bredare räckvidd, med inrikes frågor som föreslår andra skyldigheter för organisationer inom sektorer för kritisk infrastruktur.
Bestämmelser som syftade till att införliva dessa skyldigheter uteslöts så småningom från lagförslaget om kritisk infrastruktur, dock efter att den parlamentariska gemensamma kommittén för intelligens och säkerhet (PJCIS) rekommenderade att dessa “mindre brådskande” aspekter skulle lagstiftas i ett annat lagförslag på vägen.
I dessa rekommendationer sa PJCIS att lagstiftning av dessa aspekter senare skulle ge företag och myndigheter ytterligare tid att samutforma ett regelverk som får bredare samförstånd bland intressenter.
Inrikes frågor har nu släppt ett exponeringsutkast [PDF] av ett lagförslag som fokuserar på de exkluderade aspekterna.
I detta andra lagförslag, kallat lagförslag om säkerhetslagstiftning (Critical Infrastructure Protection) Bill (SLACI Bill), försöker den federala regeringen införa riskhanteringsprogram för kritiska infrastrukturenheter och utökade cybersäkerhetsförpliktelser för de enheter som är viktigast för nationerna.
Riskhanteringsprogrammets skyldighet, om det skulle bli lag, skulle gälla enheter inom de elva sektorer som klassificerades som sektorer för kritisk infrastruktur i den första propositionen. De utökade cybersäkerhetskraven skulle under tiden gälla för en mindre delmängd av enheter som innehar tillgångar som klassificeras som system av nationell betydelse.
Enligt lagförslagets exponeringsutkast skulle riskhanteringsprogrammet behöva identifiera faror för kritiska infrastrukturtillgångar och sannolikheten för att de inträffar. Dessutom skulle enheter vara skyldiga att lämna en årlig rapport om riskhanteringsprogrammet och om några faror hade en betydande inverkan på kritiska infrastrukturtillgångar.
När man tittar på de föreslagna utökade cybersäkerhetsskyldigheterna i lagförslagets exponeringsutkast, söker regeringen att enheter som har system av nationell betydelse ska ha en incidentresponsplan för att hantera cyberattacker. Denna incidentresponsplan skulle behöva delas med inrikesministern.
Dessa enheter skulle också vara skyldiga att genomföra cybersäkerhetsövningar för att bygga cyberberedskap, göra sårbarhetsbedömningar för att identifiera sårbarheter för sanering och tillhandahålla systeminformation för att bygga upp Australiens situationsmedvetenhet. När det gäller det föreslagna kravet att tillhandahålla systeminformation, syftar lagförslaget till att ge inrikes frågor befogenhet att tvinga relevanta enheter att installera systeminformationsprogramvara.
Regeringen har också använt denna andra proposition för att ändra “nyckelsektor- och tillgångsdefinitioner” för att klargöra vilka enheter som anses inneha kritiska infrastrukturtillgångar.
Bland definitionerna som skulle ändras enligt lagförslaget är “kritiskt domännamnssystem”, som klargör att en tillgång är kritisk om den administrerar ett australiskt domännamnssystem.
Exponeringsutkastet syftar också till att ändra definitionen av “kritisk datalagring eller bearbetningstillgång” för att ge klarhet för industrin om vilka typer av enheter som kommer att fångas upp som ansvariga enheter för kritisk datalagring eller bearbetning av tillgångar. Enligt den ändrade definitionen anses enheter inneha kritisk infrastruktur om de tillhandahåller datalagrings- eller bearbetningstjänster till regeringen.
Datalagring definieras i detta fall som en tjänst som tillhandahålls på kommersiell basis som gör det möjligt för slutanvändare att lagra eller säkerhetskopiera data eller en databehandlingstjänst som tillhandahålls på kommersiell basis som innebär användning av en eller flera datorer.
Databehandling inkluderar samtidigt datoriserade dataåtgärder som lagring, loggning, generering, omvandling, användning, avslöjande, delning, överföring och bortskaffande.
Home Affairs kommer att ta emot feedback om detta exponeringsutkast fram till den 1 februari.
Relaterad täckning
Home Affairs lanserar nya principer för kritisk teknologisäkerhet för leveranskedjan Home Affairs i samtal för att ge telcos fler blockerande befogenheter mot skadliga meddelanden
Australien påbörjar arbetet med lagreformer för elektronisk övervakning
USA och Australien ingår CLOUD Act-avtal för gränsöverskridande tillgång till elektroniska bevis
Inrikes frågor ber om en brådska med Critical Infrastructure Bill till tillåt ASD att agera lagligt
Australien | Säkerhets-TV | Datahantering | CXO | Datacenter