Image : Asha Barbaschow/ZDNet
La nouvelle ministre de l'Intérieur, Karen Andrews, a fait du cyber une priorité dans son portefeuille, en utilisant les réformes de l'infrastructure critique de l'Australie comme exemple de la façon dont le gouvernement a travaillé pour protéger la nation .
” J'ai élevé le cyber au rang de grande priorité dans le portefeuille “, a déclaré Andrews, s'exprimant dans le cadre de la conférence CEDA sur l'état de la nation 2021 jeudi.
Les réformes, par le biais du projet de loi de 2020 sur la modification de la législation sur la sécurité (infrastructure critique), permettraient, entre autres, au gouvernement de fournir une « assistance » aux entités en réponse à des cyberattaques importantes contre les systèmes australiens. Les géants de la technologie opérant en Australie, tels qu'Amazon Web Services, Cisco, Microsoft et Salesforce, ont tous contesté ces pouvoirs de “dernier recours”.
“La législation sur les infrastructures critiques est particulièrement importante pour nous, et je pense que ce qu'elle démontre, c'est la perception des gens de ce qu'est une infrastructure critique, qui va bien au-delà des briques et du mortier physiques, est cruciale pour nous”, a déclaré Andrews.
Le projet de loi intègre les secteurs des communications, des services financiers, du stockage et du traitement des données, de l'enseignement supérieur et de la recherche, de l'énergie, de l'alimentation et de l'épicerie, de la santé et de la médecine, des technologies spatiales, des transports, de l'eau et de l'assainissement à la définition de l'infrastructure critique.
“Nous savons qu'il existe une menace croissante de cyberattaque ici en Australie, les ransomwares, ce sont des problèmes importants pour nous. Il est également important que nous reconnaissions que de nombreuses entreprises qui ont fait l'objet d'une attaque de ransomware ou sont susceptibles de l'être soumis à une attaque de ransomware ne seront pas nécessairement prêts à fournir ces informations », a poursuivi Andrews.
“Si nous n'avons pas les informations transmises à la Direction australienne des signaux qui leur permettent d'entrer et de fournir un niveau d'assistance, cela signifie que nous ne pouvons pas aider à essayer de rétablir certaines des connexions qui sont là pour essayer d'aider à récupérer les données. Cela signifie également que nous n'obtenons pas les renseignements dont nous avons besoin qui conduiront à un environnement plus cyber-sécurisé pour nous ici en Australie. “
Andrews a déclaré que la législation doit “être avancé de toute urgence”.
“C'est ce que mon plan est”, a-t-elle ajouté. “Je pense qu'il offre en fait beaucoup plus de protections qu'il n'introduit de risques.”
Aux côtés d'Andrews, Michelle Price, PDG d'AustCyber, l'organisation chargée de développer un écosystème de cybersécurité local. Elle a présenté la législation comme « un élément d'une très grande mosaïque de choses » qui doit être entreprise.
« Les gens se réjouissent que cette législation se produise, principalement parce qu'elle uniformise les règles du jeu entre les industries, ” elle a dit.
Ce qui est important pour Price, cependant, c'est que l'éducation sur l'objectif et les conséquences du projet de loi devrait avoir lieu.
“Nous devons nous assurer que cette éducation se diffuse, c'est là que la chaîne de valeur entre en jeu, ces réseaux de partage d'informations fiables qui se produisent de manière organique, ainsi que de manière orchestrée, pour nous assurer que tout le monde est au courant de cette législation “, a-t-elle ajouté.
“Je pense que le gouvernement a fait du bon travail en tirant des leçons de la législation sur le cryptage et a procédé à une consultation approfondie de cette législation malgré la période de temps relativement courte qu'elle a parcourue, par rapport à d'autres domaines comme les télécommunications. Les réformes de la sécurité du secteur et le régime des violations de données à notifier… [qui] ont pris beaucoup plus de temps que les amendements aux infrastructures critiques. »
Le Sénat a adopté cette semaine deux projets de loi qui n'ont pas non plus bénéficié de périodes de consultation particulièrement longues.
Le projet de loi sur la sécurité en ligne 2021 a été adopté mercredi soir avec des amendements. Entre autres choses, la nouvelle loi étend la fonction de retrait informatique du commissaire à la sécurité électronique aux adultes, en donnant le pouvoir d'émettre des avis de retrait directement aux services hébergeant le contenu et aux utilisateurs finaux responsables du contenu abusif.
Le projet de loi a été présenté au Parlement le 24 février, huit jours ouvrables après la clôture de la consultation sur le projet de loi et avant la publication des quelque 400 soumissions à la consultation. Il a été remis à une commission sénatoriale le 25 février et après avoir tenu une audience publique, la commission chargée d'examiner son contenu a rendu son rapport.
Lors du débat sur le projet de loi la semaine dernière, le co-chef adjoint des Verts australiens, le sénateur Nick McKim, a déclaré que le gouvernement “[avait fait passer] ces projets de loi à travers ce Parlement sans examen adéquat et sans examen adéquat”. le projet de loi doit être abrogé et réécrit et après avoir reçu la sanction royale, eSafety annulera les spécifications de la façon dont le nouveau système sera exécuté six mois plus tard.
Le projet de loi 2020 portant modification de la législation sur les télécommunications (ordres de production internationaux) a également été adopté cette semaine.
Le projet de loi sur l'introduction en bourse ouvre la voie à l'Australie pour partager des données de communication avec d'autres pays. Il permet à l'Australie d'obtenir un accord bilatéral proposé avec les États-Unis, dans un premier temps, en vertu de sa loi sur la clarification de l'utilisation licite des données à l'étranger (CLOUD Act).
Le projet de loi a été adopté par les deux chambres, incorporant les amendements des recommandations faite par la Commission parlementaire mixte sur le renseignement et la sécurité (PJCIS) le mois dernier.
L'opposition fédérale a présenté lundi au Parlement un autre projet de loi lié à la sécurité qui, s'il était adopté, obligerait les organisations à informer l'Australian Cyber Security Center (ACSC) avant qu'un paiement ne soit effectué à une organisation criminelle en réponse à une attaque de ransomware.
Le projet de loi sur les paiements par ransomware 2021 a été présenté à la Chambre des représentants par le ministre adjoint fantôme chargé de la cybersécurité, Tim Watts, qui a profité de l'occasion pour affirmer que la position actuelle du gouvernement consistant à dire aux entreprises de se défendre en “fermant leurs portes aux gangs de cybercriminels” était “pas assez bon”.
En réponse au projet de loi proposé, Andrews a dit qu'elle était ouverte à l'explorer.
“Du point de vue du gouvernement, nous aimerions en fait que les entreprises tendent la main, en particulier à l'ACSC, dans le cas où ils seraient victimes d'une attaque de ransomware ou d'autres menaces », a-t-elle déclaré.
« [ACSC] est très bien placé pour pouvoir les soutenir, mais ils comptent sur, dans de nombreux cas, sur les entreprises qui les signalent ou les contactent directement.
“J'ai déjà eu quelques discussions sur le signalement obligatoire des attaques de ransomware et mon point de vue à ce stade est qu'il existe une gamme de points de vue à ce sujet – c'est très mitigé dans la réponse – ce que je veux faire au cours des prochaines semaines est explorer cela de manière beaucoup plus approfondie.”
Andrew a déclaré qu'elle souhaitait que l'ACSC ait la possibilité de soutenir les entreprises qui ont fait l'objet d'attaques de ransomware, mais cette sensibilisation était également importante.
< p>“Ce que je ne veux pas faire, c'est finir avec la charrue avant les bœufs et passer directement au signalement obligatoire des ransomwares, où nous n'avons pas suivi le processus de sensibilisation à la cybersécurité, de sensibilisation aux ransomwares, s'assurer que nous avons en place tous les bons mécanismes pour soutenir les entreprises”, a-t-elle déclaré.
“Alors oui, je veux collecter des renseignements, mais je veux m'assurer que nous le faisons d'une manière sensée et rationnelle.
“Mais je suis ouvert à explorer cela. Je l'explore déjà.”
COUVERTURE ASSOCIÉE
Les forces de l'ordre australiennes ont des problèmes de destruction de données : biais et discrimination liés à l'IA en abondance : les Verts australiens veulent que le projet de loi sur la sécurité en ligne soit abrogéL'Australie ouvre le système d'identification numérique au secteur privé avec une consultation sur la nouvelle législation. examinez les technologies de la chaîne d'approvisionnement telles que la blockchain : ComitéUne entreprise australienne de renommée nationale s'est mobilisée pour résister à l'aide ASD
Sujets connexes :
Australie Sécurité Gestion des données TV CXO Data Centers 