Campbell er journalist for ZDNet, der dækker teknologiens indvirkning på tværs af spektret af regering, lovgivning og regulering.
Fuld biografisk biografisk den 1. marts 2022 | Emne: Sikkerhed
Billede: Asha Barbaschow/ZDNet
Macquarie Telecom har stemplet Australiens kritiske infrastrukturreformer som “udvandet” og advarer om, at mange udbydere af datalagring eller databehandling muligvis kan undgå regulering på grund af reformernes primære fokus på “forretningskritiske data”.
“Dette er en betydelig og farlig reduktion af omfanget af [Australiens love om kritisk infrastruktur], fordi forretningskritiske data ikke beskriver den type information, der oftest er i besiddelse af offentlige myndigheder og agenturer, eller hvad der er afgørende for, hvordan regeringen fungerer. ,” sagde den australske cloud- og datalagringsudbyder.
Macquarie Telecoms bemærkninger blev fremsat til det parlamentariske fælles udvalg for efterretning og sikkerhed (PJCIS), som i øjeblikket gennemgår de seneste kritiske infrastrukturreformer, der blev indført i parlamentet i sidste måned.
Reformerne er indtil videre kommet i form af to love; den første blev lov i december for at give regeringens “sidste udvej” beføjelser til at instruere en kritisk infrastrukturenhed om, hvordan man griber ind mod cyberangreb; det andet stykke lovgivning, som er, hvad Macquarie Telecom har markeret som kræver ændringer, ser ud til at tilføje krav til, at kritiske infrastrukturenheder har risikostyringsprogrammer på plads, og enheder, der anses for at være “vigtigst for nationen” for at overholde forbedrede cybersikkerhedsforpligtelser.< /p>
For at pakke Macquarie Telecoms bekymringer ud, sagde selskabet, at det andet stykke lovgivning – kendt som SLACIP Bill – søger at ændre eksisterende love, så krav til kritiske infrastrukturenheder ikke gælder for datalagringsudbydere, medmindre de offentlige data, de gemmer eller behandler, omfatter ” forretningskritiske data”. Det vil ifølge selskabet medføre, at forskellige typer data ikke er omfattet af forordningens krav om risikostyringsprogram.
Eksempler på data, der ikke ville være omfattet af reformerne af kritisk infrastruktur, er højt klassificerede regeringsoplysninger, hele Australiens nationale arkiver, officielle virksomhedsregistre for Australian Security and Investments Commission, officielle optegnelser over dødsfald for et statsregistreringskontor, officielle geofysiske data og de systemer, der understøtter driften af video-telekonferenceforbindelserne, der bruges af de føderale og statslige domstole, sagde Macquarie Telecom.
“Mulighederne og konsekvenserne af den foreslåede ændring af definitionen er betydelige og , under omstændighederne, virker absurd,” tilføjede den.
Ud over at være utilfreds med definitionsændringen af ”forretningskritiske data”, sagde Macquarie Telecom, at reformerne er geografisk begrænset til Australien kunne skabe konkurrencemæssige ulemper for datalagringsudbydere, hvis aktiver udelukkende er baseret i Australien.
Virksomheden forklarede, at denne konkurrencemæssige ulempe kunne opstå, da “jurisdiktionsgabet” ville skabe et incitament for alle typer udbydere af kritisk infrastruktur og deres leverandører til at flytte datalagre og behandlingsfunktioner offshore, hvor de vil være uden for rammerne. af Australiens love om kritisk infrastruktur.
Den sagde også, at den geografiske grænse betyder, at Australiens love om kritisk infrastruktur ikke indeholder en mekanisme til at beskytte nationalt væsentlige kritiske dataarbejdsbelastninger mod at blive overført offshore, hvor det potentielt kan være uden for Australiens jurisdiktion.
“Rationalet for at ekskludere kritiske data. Australske datalagrings- og behandlingsaktiver, der er placeret i udlandet, er ikke blevet forklaret. Det er i skærende kontrast til den tilgang, der er vedtaget i andre love, som udtrykkeligt gælder for data lagret i udlandet,” sagde Macquarie Telecom.
Den føderale regerings kritiske infrastrukturreformer ligger sammen med ransomware-handlingsplanen som værende dens primære regulatoriske indsats for at styrke Australiens cybersikkerhedsposition. Mærket af indenrigsminister Mike Pezzullo i sidste måned som regeringens “forsvar” mod cybertrusler, med ransomware-handlingsplanen, der udgør “forseelsen”, sagde han, at SLACIP-lovforslaget ideelt set ville skabe en standardiseret kritisk infrastrukturramme for at sætte Australiens efterretningstjenester i stand til at nærme sig cyberangreb på en forsigtig måde på grund af den yderligere information, den ville modtage.
Pezzullo omtaler lovforslag om kritisk infrastruktur som 'forsvar' og ransomware-plan som 'forseelse'. Home Affairs udgiver det andet lovforslag om kritisk infrastruktur med resterende forpligtelserTrio af lovforslag om indenrigsanliggender, der dækker cyber, ransomware, telco data ind i ParlamentetTelstra minder organisationer om, at styring af cyberrisici ikke er at have 'sikkerhed på bankniveau' Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre