Minister des Innenministeriums Mike Pezzullo
Screenshot: Asha Barbaschow/ZDNet
The Das Innenministerium hat eine Eile für die Verabschiedung des drohenden Gesetzesentwurfs für kritische Infrastrukturen des Landes beantragt und erklärt, dass die sektorspezifischen Regeln nach der königlichen Zustimmung durchgedreht werden könnten.
Unter anderem würde das Gesetz zur Änderung der Sicherheitsgesetzgebung (kritische Infrastruktur) 2020 der Regierung ermöglichen, Unternehmen als Reaktion auf erhebliche Cyberangriffe auf australische Systeme „Unterstützung“ zu gewähren. Dazu gehört auch der Vorschlag für die Installation von Software, die nach Angaben des Innenministeriums Anbietern beim Umgang mit Bedrohungen helfen würde.
Es würde auch eine positive Sicherheitsverpflichtung (PSO) für Unternehmen kritischer Infrastrukturen einführen, die durch sektorspezifische Anforderungen und obligatorische Meldepflichten unterstützt wird.
Die sektorspezifischen PSO-Regeln müssen noch geschrieben werden, aber Home Der Minister für Angelegenheiten, Mike Pezzullo, sagte, diese könnten kommen, nachdem der Gesetzentwurf in Kraft getreten sei. Er forderte die Verabschiedung des Gesetzes zuerst und sagte, dass die Unterstützungsbefugnisse dringend erforderlich seien, damit das Australian Signals Directorate (ASD) rechtmäßig handeln und Unternehmen unterstützen kann, die von einem Cyberangriff betroffen sind.
„Das sind [sind] Maßnahmen, die ich heute Abend ehrlich gesagt lieber in den Gesetzbüchern haben möchte“, sagte Pezzullo am Donnerstag dem parlamentarischen Gemeinsamen Ausschuss für Nachrichtendienste und Sicherheit (PJCIS).
„Die Regierungshilfe Maßnahmen sind diejenigen, die … mich sicherlich nachts wach halten, die Unfähigkeit – mit all den Befugnissen und Fähigkeiten, die die ASD sowie der Reichweite, die sie in unsere militärischen Informationskriegskapazitäten haben, nicht per Gesetz auf unsere eingesetzt werden kann Netzwerke, wie wir gerade sprechen, gerade jetzt – das ist die dringendste Dringlichkeit.
“Ich fordere dieses Komitee dringend auf, klar und direkt zu prüfen, ob Australiens führende Informationsoperationsbehörde, das Australian Signals Directorate, in der Lage ist, im Notfall eine effektivere Reaktion auf Vorfälle zu leisten, als es jedes Unternehmen möglicherweise könnte.”
Senatoren äußerten Bedenken, dass der Minister anstelle des Parlaments die Befugnis erhalten würde, die Regeln festzulegen. Pezzullo sagte, dass jedes Gesetz des Parlaments einen Entscheidungsträger benenne, und in diesem Fall war es der Innenminister.
Er argumentierte, dass der Minister sich gegen die in der Gesetzgebung festgelegten Schwellenwerte und Definitionen entscheiden müsse und argumentierte, dass es ein zermürbender Prozess wäre, wenn jede Regel an das Parlament zurückkommen müsste.
“Würde es? rechtzeitig sein, um Abstimmungen des Parlaments zu erhalten … für den Fall, dass vielleicht eine Verpflichtung schnell verschoben werden muss?” er hat gefragt.
Indem Pezzullo den Vorschlag widerlegte, dass der Gesetzentwurf “halbfertig” war, stellte er auch fest, dass die Regeln in einer gemeinsam entworfenen Weise gestaltet wurden.
Die Beratungen zu den Regeln sind bereits im Gange, und die Abteilung geht voran, als ob das Gesetz verabschiedet worden wäre.
Pezzullo sagte, dass es unwahrscheinlich sei, dass die jeweiligen Regeln für jeden bestimmten Sektor gleichzeitig festgelegt werden. Ein Teil des Problems, sagte Pezzullo, war das Engagement der anderen Seite.
„Wir befinden uns in einer Art Kreislaufparadoxon, bis wir verstehen, was unsere rechtlichen Verpflichtungen sein werden“, sagte er. „Und das ist nicht unangemessen, das sind große Unternehmen, die Vorstände haben, die Pflichten nach Gesellschaftsrechten und anderen Gesetzen haben … damit wir zu Sitzungen erscheinen und sagen können: 'Hier ist ein Regelentwurf, wir würden gerne Ihre Kommentare haben ' und normalerweise kommen die nachverfolgten Änderungen nicht von den Technikern, sondern von den Anwälten.
„Das ist völlig verständlich … aber was ich sage, ist, dass es so lange dauert, wie Sie diese Spirale von ‚Wir sind uns nicht ganz sicher‘ haben und die Regierung sagt ‚Ja, aber wir möchten Ihre technische Sichtweise‘, die Regeln werden wohl nie zufriedenstellend sein, weil man irgendwann sagen muss: 'Stifte runter, Prüfung vorbei'.”
Ohne den Gesetzentwurf selbst würden die Co-Design-Prozesse jedoch nicht eine gesetzgeberische Richtung sein.
In Anbetracht dessen argumentierte Pezzullo, dass die Unfähigkeit des Ministeriums, spezifische Fragen aus einem bestimmten Sektor zu beantworten, weder die Verabschiedung des Gesetzentwurfs noch die Festlegung der Regel aufhebt.
Viele Einreicher beim PJCIS sind vorsichtig, dass der Gesetzentwurf bestehende Rechtsvorschriften wie Telekommunikation, Gesundheit und Bankwesen duplizieren würde.
“Das Innenministerium ist die Regulierungsbehörde gemäß dem Telekommunikationsgesetz des TSSR-Schemas , tatsächlich ist es in meinem Stift … Ich bin zufällig dieser Offizier, und ich kann Ihnen sagen, dass die TSSR für diesen Zweck ungeeignet ist, ich kann Ihnen absolut versichern, weil wir die Regulierungsbehörde sind“, sagte er.
< p>„Wenn mir jemand versichern kann, dass derjenige, der diese Apothekenvereinbarungen reguliert, Zugang zu streng geheimen Codewort-Informationen hat, ein tiefes Verständnis der Bedrohungsumgebung hat und weiß, welche Verteidigungsfähigkeiten durch ASD-Vorhaben weiter ausgebaut werden können, dann könnte ich kommen zu einer anderen Ansicht.”
Er sagte, er würde davon abraten, dass die Primärgesetzgebung das Maß an Spezifität erfasst, das in den Vorschriften für jeden Sektor erforderlich wäre – nicht weil das Innenministerium sie so ausgestalten wollte mitgeht, noch dass es nicht jeden Sektor versteht.
„Wir haben eine stark fortschrittliche Ansicht, die wir diesem Ausschuss respektvoll gegenüber dem relativen Gleichgewicht darlegen, das in Bezug auf das Primärrecht gefunden werden sollte und was im Regelsetzungsprozess verfügbar sein sollte“, wiederholte er.
Amazon Web Services, Microsoft, Google und Atlassian haben sich alle an dem drohenden Gesetzentwurf beteiligt. Die beiden letztgenannten Unternehmen teilten dem PJCIS letzten Monat mit, dass sie keine Unterstützung von der australischen Regierung benötigten und die Installation von Software dies tun würde mehr schaden als nützen.
“Die Reife und Raffinesse der Unternehmen, von denen wir gehört haben, meine unmittelbare Antwort lautet: Nun, ich hoffe nicht. Genau das ist es, was wir hoffen, dass ihre Position ist, dass sie uns nicht brauchen, um ihnen bei der Verteidigung ihrer Netzwerke zu helfen. ” sagte ASD-Generaldirektorin Rachel Noble dem PJCIS.
„Unsere bevorzugte Erfahrung ist, dass wir nur Software installieren würden, was derzeit mit Entitäten, die mit uns zusammenarbeiten, geschieht, wenn diese Entität nicht in der Lage ist, die technische Telemetrie oder Systeminformationen bereitzustellen, um sie bei einem Vorfall zu unterstützen Antwort.
“Diese Art von Idee, dass ASD herumlaufen und willkürlich Software installieren wird, ist ein bisschen wie eine Karikatur. Unsere operative Präferenz besteht darin, dass sie uns dies bieten können, ohne dass dies geschehen muss, und in vielen Fällen ist dies absolut der Fall.”
Pezzullo sagte, die erste Präferenz der Regierung sei die Zusammenarbeit und Partnerschaft mit dem Unternehmen.
„Allerdings sind die Risiken für die nationalen Interessen Australiens nach Ansicht der Regierung zu groß, um vor einem Vorfall keinen klaren, etablierten Rahmen zu haben, der als letztes Mittel in einem nationalen Notfall eingesetzt werden könnte, sollte ein Unternehmen nicht bereit sein oder nicht in der Lage, das Notwendige zu tun”, sagte er.
MEHR ZUR RECHNUNG
Kritische Infrastruktur Bill hat eine 'Einschreiten'-Befugnis der Regierung zur Kennzeichnung von ProblemenTech-Giganten sagen, staatliche Cyber-Unterstützung würde einfach mehr Probleme verursachenLogistik und Versorgungsunternehmen erklären sich damit einverstanden, im Falle eines Cybervorfalls von ASD zu helfen
Verwandte Themen:
Australia Security TV Data Management CXO Data Centers 