Campbell Kwan Journalist
Campbell er journalist for ZDNet, der dækker teknologiens indvirkning på tværs af spektret af regering, lovgivning og regulering.
Fuld biografisk den 17. februar 2022 | Emne: Sikkerhed
Indenrigsminister Karen Andrews.
Billede: Tracey Nearmy/Getty Images
Indenrigsminister Karen Andrews indførte tre nye lovforslag i parlamentet i torsdags, der dækker den føderale regerings ransomware-handlingsplan, kritisk luftfart og maritime cybersikkerhed og mobiltelefonadgang i fængsler.
Det første af de tre lovforslag indeholder straffelovsreformer, der blev annonceret i oktober sidste år som en del af Indre Anliggenders ransomware-handlingsplan for at skabe strengere straffe for cyberkriminelle. De vigtigste blandt disse straffe er en øget maksimumsstraf på 10 års fængsel for cyberkriminelle, der bruger ransomware, og en ny maksimumsstraf på 25 års fængsel for kriminelle, der er målrettet mod Australiens kritiske infrastruktur.
Lovforslaget, som tidligere på ugen blev stemplet af indenrigsminister Mike Pezzullo som regeringens “forbrydelse” mod cybertrusler, søger også at kriminalisere enkeltpersoner, der køber og sælger malware med det formål at begå en computerforbrydelse og håndtere stjålne data.
Lovforslaget, hvis det bliver vedtaget, vil også udvide de retshåndhævende myndigheders mulighed for at overvåge, fastfryse og beslaglægge kriminelles dårligt opnåede gevinster til også at dække digitale aktiver, herunder dem, der opbevares af digitale valutavekslinger.
Ifølge Andrews er reformerne et svar på den voksende trussel om ondsindede cyberangreb.
“Dette lovforslag giver australske retshåndhævende myndigheder de juridiske værktøjer og kapaciteter, de har brug for til at forfølge og retsforfølge ransomware-bander og den omfattende trussel om ransomware-angreb på Australien og australiere,” sagde Andrews.
“Morrison-regeringen vil ikke tolerere angreb på Australiens kritiske infrastruktur, små virksomheder eller rettet mod de mest sårbare medlemmer af vores samfund. Cyberkriminelle bruger ransomware til at gøre australierne reel og langvarig skade.”
Da ransomware-handlingsplanen først blev annonceret, sagde Andrews, at lovgivningen ville være sideløbende med et obligatorisk rapporteringssystem for ransomware-hændelser, som ville kræve, at organisationer med en omsætning på over AU$10 millioner om året formelt underretter regeringen, hvis de oplever et cyberangreb. Konkrete detaljer om ransomware-rapporteringsregimet mangler dog stadig at dukke op.
Det andet lovforslag, der blev indført i parlamentet af Andrews i torsdags, var lovforslaget om transportsikkerhedsændring (kritisk infrastruktur) 2022 (TSACI-lovforslag), som Andrews sagde er rettet mod at styrke cyberforsvaret af Australiens lufthavne og søhavne.
“Luftfarts- og søtransportsektorerne, der understøtter vores økonomi og levevis, er mål for kriminelle, terrorister. og ondsindede udenlandske aktører. Det er grunden til, at vi i nødsituationer skal være parate til at beskytte vores kritiske luftfarts- og maritime sektorer,” sagde Andrews .
I modsætning til de to kritiske infrastrukturer, der allerede kom ind i parlamentet, hvor den første af dem blev lov sidste år, er TSACI-lovforslaget fokuseret på at skabe yderligere rapporteringskrav for luftfarts- og maritime enheder, hvorimod de to andre lovforslag blev udarbejdet for generelt at dække enheder på tværs af Australiens 11 udpegede kritiske infrastruktursektorer.
Den føderale regering sagde, at kritisk luftfart og søfart havde behov for yderligere rapporteringskrav mod cybertrusler på grund af virkningen af COVID-19-pandemien såvel som i nødsituationer. Dette inkluderer et nyt krav om, at kritiske luftfarts- og maritime enheder skal rapportere cybersikkerhedshændelser til både indenrigsanliggender og Australian Signals Directorate (ASD).
Eksempler på cybersikkerhedshændelser er malware, phishing, lammelsesangreb og cross-site scripting, lovforslagets forklarende memorandum detaljer.
Det nye lovforslag klassificerer også cybersikkerhedshændelser, der har en relevant indvirkning på et kritisk luftfarts- eller maritimt aktiv, som ulovlig indblanding. Hvis den person, der skabte cybersikkerhedshændelsen, der havde en relevant indvirkning, bliver dømt, kan de potentielt stå over for de strengere straffe, der er foreslået i den førnævnte lovgivning om ransomware-handlingsplan. En cybersikkerhedshændelse vil blive anset for at have skabt en relevant indvirkning, hvis den påvirkede tilgængeligheden, integriteten, pålideligheden eller fortroligheden af oplysninger om aktivet.
Lovforslaget søger også at skabe en “alle farer”-rapporteringsramme, der vil kræve, at kritiske luftfarts- og maritime enheder overvejer og er modstandsdygtige over for naturkatastrofer, cybersårbarheder og forsyningskædeforstyrrelser, der kan påvirke deres evne til at levere tjenester.
Ifølge TSACI-lovforslagets begrundelse er de nye rapporteringskrav i overensstemmelse med rapporteringskravene i det første lovforslag om kritisk infrastruktur og fungerer sammen med de eksisterende rapporteringskrav for andre typer luftfarts- og maritime sikkerhedshændelser.
Det sidste af tre lovforslag er lovgivning, der skal hjælpe statslige og territorielle myndigheder til at identificere, efterforske og forhindre ulovlig mobiltelefonkriminel aktivitet i Australiens fængsler.
Hvis lovforslaget vedtages, vil lovforslaget ændre Telecommunications (Interception and Access) Act 1979 (TIA Act) for at give fængselsmyndighederne mulighed for at få adgang til telekommunikationsdata for at spore ulovlig mobiltelefonbrugsaktivitet i fængsler.
“Det er afgørende for fængselsmyndighederne at have de beføjelser, de har brug for til at afsløre ulovlige mobiltelefoner og få adgang til deres telekommunikationsdata for at forhindre og retsforfølge kriminelle og nationale sikkerhedsforbrydelser i Australiens fængsler,” sagde Andrews.
“Australierne forventer, at vores fængselsmyndigheder har de juridiske beføjelser, de har brug for til at identificere og retsforfølge en indsat eller indsatte, der er forbundet med ulovlige mobiltelefoner, for at stoppe kriminel aktivitet og for at stoppe indsatte i at etablere kriminelle netværk i vores fængselssystem.
Før fængslets mobiltelefonlovgivning kom for parlamentet, gav Andrews allerede øjeblikkelig adgang til disse beføjelser til Corrective Services NSW ved at bruge hendes midlertidige erklæringsbeføjelser i henhold til TIA-loven.
Relateret dækning
Pezzullo fremstiller lovforslag om kritisk infrastruktur som “forsvar” og ransomware-plan som “forseelse” Teleselskaber for at få udvidede beføjelser til at blokere fupnumre gennem ændring af telekommunikationslovgivningenHome Affairs fremhæver Meta som mest tilbageholdende med at stoppe misbrug på nettet
Udgivelser fra indenrigsministeriet andet lovforslag om kritisk infrastruktur med resterende forpligtelser
Home Affairs lancerer nye principper for kritisk teknologiforsyningskædesikkerhed
Australien Sikkerheds-tv Data Management CXO | Datacentre