Immagine: Getty Images
Il segretario del Dipartimento degli affari interni, Mike Pezzullo, si è espresso contro le organizzazioni hackerate che rifiutano l'assistenza dell'Australian Signals Directorate (ASD), paragonandola al rifiuto di collaborare con un'indagine su un incidente aereo.
Uno di questi esempi è stato discusso venerdì al Comitato congiunto parlamentare per l'intelligence e la sicurezza (PJCIS).
“È stato un caso noto a livello nazionale che coinvolge una società nota a livello nazionale che [il direttore generale dell'ASD Rachel Noble] e io stiamo rifiutando di nominare a questo punto”, ha detto.
Secondo Noble, l'ASD ha appreso per la prima volta dell'attacco dai resoconti dei media.
“Cerchiamo di contattare l'azienda per chiarire se i resoconti dei media sono veri e non vogliono parlare con noi. Quindi continuiamo a spingere”, ha detto Noble.
“A volte dobbiamo usare i nostri contatti di livello molto alto, a volte attraverso persone in questo edificio [Parlamento] che potrebbero conoscere membri di consigli di amministrazione o presidenti di consigli di amministrazione, per cercare di stabilire un rapporto di fiducia e costruire la volontà di cooperare”.
Quando un'azienda hackerata collabora, ASD può in genere mappare le proprie reti e identificare la criminalità coinvolta il primo giorno.
Quando il sistema sanitario del Victoria ha subito un attacco ransomware nel 2019, ad esempio, il malware è stato rapidamente identificato e la rete è tornata operativa in quattro giorni.
“Ciò che abbiamo lasciato loro erano anche strumenti, formazione e capacità di identificare, proteggersi da un attacco simile, ma identificare più rapidamente che si verificasse di nuovo”, ha affermato Noble.
Tuttavia, la società anonima si è costituita in giudizio e l'ASD ha impiegato una settimana per ottenere anche informazioni di base sulla rete.
“Cinque giorni dopo stiamo ancora riscontrando una sorta di lentezza nel tentativo di convincerli a fornirci dati e distribuire alcuni dei nostri strumenti in modo da poter capire cosa sta succedendo sulle loro reti. Questo dura 13 giorni”, ha detto Noble.
“Questo incidente ha avuto un impatto nazionale sul nostro Paese. Il giorno 14, siamo in grado di fornire loro solo consigli generici sulla protezione e la loro rete è ancora inattiva. Tre mesi dopo, vengono reinfettati e ricominciamo”.
Noble afferma che questo è il motivo per cui l'ASD ha bisogno dei poteri che sarebbero concessi dalla legislazione attualmente in fase di revisione, l'Intelligence and Security: Review of the Security Legislation Amendment (Critical Infrastructure) Bill 2020.
< p>“Questa legislazione in realtà ci dà l'autorità, attraverso gli affari interni, più leva per aspettarci che questi fornitori di infrastrutture critiche abbiano effettivamente migliori standard di sicurezza informatica in primo luogo”, ha affermato.
“La parte migliore di questa legislazione, dal mio punto di vista, è che se si prendono cura di se stessi, non diventa un lavoro per la mia gente. E se le loro difese sono molto più alte, stanno mantenendo i crimini di basso livello vengono eliminati, e quindi potremmo essere in grado di concentrarci sui sindacati criminali altamente organizzati o sugli attori statali molto più sofisticati”.
I cyberaerei libertari non regolamentati mettono in pericolo i beni comuni
Pezzullo afferma che il Parlamento ha il dovere di “pensare alla regolamentazione del cyberspazio come si penserebbe alla regolamentazione di altri beni comuni”.
“Ogni volta che uno dei nostri aerei precipita, ovviamente collaboriamo con gli investigatori, e scopriamo dove erano tutti i corpi e i rottami delle parti, e aiutiamo con le indagini sulla sicurezza, ” Egli ha detto.
Non solo impariamo lezioni dagli incidenti, ha detto, ma regoliamo anche il movimento degli aerei attraverso i nostri cieli.
“Lo sviluppo di Internet è stato organico. È stato guidato da una combinazione alquanto insolita di impulsi libertari da un lato e motivazioni orientate al profitto dall'altro”, ha detto Pezzullo.
“Ogni volta che ti colleghi, voli in modo pericoloso attraverso lo spazio aereo. Non tollereremmo che il nostro spazio aereo non fosse governato e non regolamentato dallo stato.”
Vedi anche: Come l'FBI e l'AFP hanno avuto accesso ai messaggi crittografati nell'indagine su TrojanShield
Noble ha colto i vantaggi della collaborazione con l'ASD.
“Le nostre persone in ASD sono in combattimento corpo a corpo con criminali e settori statali ogni singolo giorno. Abbiamo il vantaggio di informazioni top secret forniteci da tutto il mondo, non solo i nostri propria intelligenza che possiamo raccogliere, [e] 75 anni di investimenti in capacità tecniche per analizzarlo e disimballarlo con un'incredibile postura e capacità di comprendere, attraverso le nostre capacità di difesa informatica, cosa sta succedendo su Internet in Australia”.
Perché le aziende dovrebbero rifiutare l'assistenza? Oltre alle potenziali obiezioni filosofiche, Noble ha offerto una serie di teorie.
In primo luogo, c'è quella che lei chiamava “Hubris professionale ICT”. Le organizzazioni vogliono credere di avere le competenze tecniche e di non aver bisogno di aiuto.
“Comprendiamo che le persone si sentano così. Di solito questo avviene prima che abbiano effettivamente apprezzato appieno ciò con cui hanno a che fare”, ha detto Noble.
In secondo luogo, lo scenario secondo Noble porta gli avvocati nella stanza è quando l'organizzazione non ha un piano di risposta agli incidenti. Non sanno come gestiranno la comunicazione pubblica, le relazioni con i loro fornitori e clienti, potenziali danni al marchio e altri interessi commerciali.
In terzo luogo, ci sono questioni di responsabilità, che vanno da questioni di doveri degli amministratori e se sono stati negligenti, all'agire su consiglio dell'ASD che poi ha un effetto negativo sulla società.
Come ha osservato il senatore James Paterson, presidente del PJCIS, alcuni partecipanti all'inchiesta hanno affermato che la protezione dalla responsabilità offerta dal disegno di legge potrebbe non essere sufficiente.
Pezzullo ha affermato che questa revisione della legge sulle infrastrutture critiche non dovrebbe essere vista come un'azione a sé stante. C'è del lavoro svolto nell'ambito della strategia di sicurezza informatica 2020 “che va proprio alla questione del diritto delle società, dei doveri degli amministratori e della regolamentazione delle migliori pratiche in questo campo”.
“In tutta onestà con i team di gestione esecutivi che sono alle prese con questo, cose come i prodotti assicurativi, i costi attuariali e il prezzo del rischio, la profondità del pool di riassicurazione, la giurisprudenza, non sono particolarmente ben formati”, ha detto Pezzullo.
“Siamo davvero agli albori del volo. È solo che gli avversari hanno imparato a volare e al momento hanno avuto aerei migliori della maggior parte delle aziende”.
Sconfiggere i pirati informatici dei Caraibi
Sulla questione più ampia della gestione degli attori malintenzionati online, Pezzullo ha affermato che i governi devono passare all'offensiva.
La polizia e le agenzie di intelligence, a volte con l'assistenza di cyber forze militari, stanno colpendo questi attori nei “paradisi”, ma alcuni sono fuori portata.
“Purtroppo gli stati – alcuni stati – chiudono un occhio sulle loro attività o le abilitano e le sponsorizzano attivamente. Purtroppo, la protezione dello stato incoraggia questi attori malintenzionati”, ha affermato.
Un modello per affrontare questa sfida potrebbe essere il modello globale di antiterrorismo che è stato messo in atto dopo l'11 settembre per affrontare al Qaida, ma Pezzullo ha proposto qualcosa di completamente diverso.
“Un altro modello che vorrei suggerire a questa commissione su cui vale la pena riflettere, mentre consideri questo disegno di legge e consideri la tua relazione, è la campagna che è stata montata nel 17, 18 e poi all'inizio del 19° secolo, per ripulire gli oceani del mondo dai pirati, compresi i pirati dei Caraibi, che furono sconfitti dalle navi da guerra della Royal Navy di Sua Maestà, di concerto con il portare la legge in un oceano senza legge”, ha detto.
“Questo è un problema che possiamo affrontare, proprio come la Gran Bretagna ha superato la pirateria. Ma abbiamo bisogno degli strumenti per farlo, comprese le autorità legali necessarie”.
Copertura correlata
Il ransomware è la principale minaccia alla sicurezza informatica che affrontiamo, avverte il capo informaticoRansomware: la Russia ha detto di affrontare i criminali informatici che operano all'interno dei suoi confiniVolkswagen e Audi rivelano una violazione dei dati che colpisce oltre 3,3 milioni di clienti, acquirenti interessati australiani settore delle telecomunicazioni guardando al di sotto di uno standard di sicurezza prescritto
Argomenti correlati:
Australia Security TV Data Management CXO Data Center