Afbeelding: Getty Images
De secretaris van het ministerie van Binnenlandse Zaken, Mike Pezzullo, heeft zich uitgesproken tegen gehackte organisaties die hulp weigeren van de Australian Signals Directorate (ASD), en vergelijkt dit met het weigeren mee te werken aan een onderzoek naar een vliegtuigongeluk.
Een voorbeeld van zo'n voorbeeld werd vrijdag als bewijsmateriaal besproken in de Parlementaire Gemengde Commissie voor Inlichtingen en Veiligheid (PJCIS).
“Het was een landelijk bekende zaak waarbij een landelijk bekend bedrijf betrokken was dat [directeur-generaal Rachel Noble van ASD] en ik op dit moment niet willen noemen,” zei hij.
Volgens Noble hoorde de ASD voor het eerst van de aanval via berichten in de media.
“We proberen het bedrijf te bereiken om te verduidelijken of de berichten in de media waar zijn, en ze willen niet met ons praten. Dus dan blijven we aandringen”, zei Noble.
“Soms moeten we onze eigen contacten op hoog niveau gebruiken, soms via mensen in dit gebouw [het Parlement] die leden van raden of bestuursvoorzitters kennen, om te proberen vertrouwen op te bouwen en de bereidheid om samen te werken op te bouwen.”
Als een gehackt bedrijf meewerkt, kan ASD hun netwerken doorgaans in kaart brengen en de betrokken criminaliteit op de eerste dag identificeren.
Toen bijvoorbeeld het Victoriaanse gezondheidssysteem in 2019 een ransomware-aanval kreeg, werd de malware snel geïdentificeerd en was het netwerk binnen vier dagen weer operationeel.
“Wat we hen achterlieten, waren ook hulpmiddelen, training en het vermogen om zichzelf te identificeren, om zichzelf te beschermen tegen een soortgelijke aanval, maar sneller te identificeren dat het opnieuw gebeurt,” zei Noble.
Het niet nader genoemde bedrijf maakte echter een advocaat en het duurde een week voordat de ASD zelfs maar elementaire netwerkinformatie kreeg.
“Vijf dagen later krijgen we nog steeds een zeer traag engagement om te proberen ze ons te helpen gegevens aan ons te verstrekken en een aantal van onze tools in te zetten, zodat we kunnen achterhalen wat er op hun netwerken gebeurt. Dat geldt voor 13 dagen”, aldus Noble.
“Dit incident had een nationale impact op ons land. Op dag 14 kunnen we ze alleen generiek beschermingsadvies geven en hun netwerk ligt nog steeds plat. Drie maanden later raken ze opnieuw besmet en beginnen we opnieuw.”
Noble zegt dat dit de reden is waarom de ASD de bevoegdheden nodig heeft die zouden worden verleend door de wetgeving die momenteel wordt herzien, de Intelligence and Security: Review of the Security Legislation Amendement (Critical Infrastructure) Bill 2020.
p>”Deze wetgeving geeft ons eigenlijk alleen de bevoegdheid, via Binnenlandse Zaken, meer invloed om te verwachten dat deze kritieke infrastructuuraanbieders in de eerste plaats daadwerkelijk betere cyberbeveiligingsnormen hebben”, zei ze.
“Het beste deel van deze wetgeving, vanuit mijn oogpunt, is dat als ze voor zichzelf zorgen, het geen werk wordt voor mijn mensen. En als hun verdediging veel hoger is, houden ze het lage niveau krimpt, en dan kunnen we ons misschien concentreren op de veel geavanceerdere, hooggeorganiseerde criminele syndicaten of statelijke actoren.”
Ongereguleerde libertaire cybervliegtuigen brengen de commons in gevaar
Pezzullo zegt dat het Parlement de plicht heeft om “over de regulering van cyberspace na te denken zoals je zou denken over de regulering van andere commons”.
“Elke keer als een van onze vliegtuigen neerstort, werken we natuurlijk samen met de onderzoekers, en zoeken we uit waar alle lichamen waren, en de wrakstukken van de onderdelen, en we helpen met het veiligheidsonderzoek, ” hij zei.
We leren niet alleen lessen van crashes, zei hij, maar we reguleren ook de beweging van vliegtuigen door ons luchtruim.
“De ontwikkeling van het internet is organisch geweest. Het is gedreven door een ietwat ongebruikelijke combinatie van libertaire impulsen aan de ene kant en winstgedreven motivaties aan de andere kant,” zei Pezzullo.
“Elke keer dat je verbinding maakt, vlieg je onveilig door het luchtruim. We zouden niet tolereren dat ons luchtruim niet wordt gereguleerd en niet wordt gereguleerd door de staat.”
Zie ook: Hoe de FBI en AFP toegang kregen tot versleutelde berichten in TrojanShield-onderzoek
Noble spruiked de voordelen van samenwerking met de ASD.
“Onze mensen in ASS zijn elke dag in hand-tot-hand gevechten met criminelen en staatssectoren. We hebben het voordeel van uiterst geheime informatie die ons van over de hele wereld wordt verstrekt, niet alleen onze eigen informatie die we kunnen verzamelen, [en] 75 jaar investering in technische capaciteit om deze te analyseren en uit te pakken met een ongelooflijke houding en het vermogen om, via onze cyberverdedigingscapaciteiten, te begrijpen wat er op het internet van Australië gebeurt.”
Waarom zouden bedrijven hulp weigeren? Afgezien van mogelijke filosofische bezwaren, bood Noble een reeks theorieën aan.
Ten eerste is er wat ze “ICT-professional hubris” noemde. Organisaties willen geloven dat ze de technische vaardigheden hebben en geen hulp nodig hebben.
“We begrijpen dat mensen zich zo voelen. Dat is meestal voordat ze echt hebben begrepen waar ze mee te maken hebben,” zei Noble.
Ten tweede, het scenario dat volgens Noble de advocaten binnenhaalt, is wanneer de organisatie geen plan voor incidentenbestrijding heeft. Ze weten niet hoe ze de openbare communicatie, de relaties met hun leveranciers en klanten, potentiële merkschade en andere commerciële belangen moeten beheren.
Ten derde zijn er aansprakelijkheidskwesties, variërend van de plichten van bestuurders en of ze nalatig zijn geweest, tot het handelen op basis van ASD-adviezen, wat dan een nadelig effect heeft op het bedrijf.
Zoals PJCIS-voorzitter senator James Paterson opmerkte, hebben sommige indieners van het onderzoek gezegd dat de bescherming tegen aansprakelijkheid die in het wetsvoorstel wordt geboden mogelijk niet voldoende is.
Pezzullo zei dat deze herziening van de wet op kritieke infrastructuur niet moet worden gezien als een op zichzelf staande actie. Er wordt gewerkt als onderdeel van de Cyber Security-strategie 2020 “die precies betrekking heeft op de kwestie van het vennootschapsrecht, de taken van bestuurders, [en] regelgeving voor betere praktijken op dit gebied”.
“In alle eerlijkheid tegenover de uitvoerende managementteams die hiermee worstelen, zijn zaken als verzekeringsproducten, de actuariële kosten en prijsstelling van het risico, de diepte van de herverzekeringspool, de jurisprudentie niet bijzonder goed gevormd,” zei Pezzullo.
“We bevinden ons echt in de begindagen van de vlucht. Alleen de tegenstanders leerden vliegen en kregen op dit moment betere vliegtuigen dan de meeste firma's.”
Het verstoren van de Cyber Pirates of the Caribbean
Over de bredere kwestie van het omgaan met kwaadwillende actoren online, zei Pezzullo dat regeringen in het offensief moesten gaan.
Politie en inlichtingendiensten, soms met hulp van militaire cybertroepen, vallen deze actoren in de “paradijzen” aan, maar sommige zijn onbereikbaar.
“Helaas stellen staten – sommige staten – ofwel een oogje dicht voor hun activiteiten, of maken ze actief mogelijk en sponsoren ze. Helaas moedigt staatsbescherming deze kwaadwillende actoren aan”, zei hij.
Een model om deze uitdaging aan te pakken is misschien het wereldwijde model voor terrorismebestrijding dat na 9/11 werd ingevoerd om Al Qaida aan te pakken, maar Pezzullo stelde iets heel anders voor.
“Een ander model dat ik aan deze commissie zou willen voorstellen en dat de moeite waard is om over na te denken, terwijl u dit wetsvoorstel overweegt en uw rapport in overweging neemt, is de campagne die werd opgezet in de 17e, 18e en vervolgens in het begin van de 19e eeuw, om de wereldzeeën te zuiveren van piraten, inclusief de piraten van het Caribisch gebied, die werden verslagen door Hare Majesteits oorlogsschepen van de Royal Navy, in samenspraak met het brengen van wet naar een wetteloze oceaan”, zei hij.
“Dit is een probleem waarmee we kunnen omgaan, net zoals Groot-Brittannië piraterij heeft overwonnen. Maar we hebben de tools nodig om dit te doen, inclusief de vereiste juridische autoriteiten.”
Gerelateerde dekking
Ransomware is de grootste cyberbeveiligingsbedreiging waarmee we worden geconfronteerd, waarschuwt cyberchefRansomware: Rusland moet cybercriminelen die binnen zijn grenzen opereren aan te pakken Volkswagen, Audi maken een datalek bekend dat gevolgen heeft voor meer dan 3,3 miljoen klanten, geïnteresseerde kopersAustralië telco-sector kijkt door het vat van een voorgeschreven beveiligingsstandaard
Verwante onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters