Institutt for innenrikssekretær Mike Pezzullo
Skjermbilde: Asha Barbaschow/ZDNet
The Institutt for innenrikssaker har bedt om et hastverk for passering av landets truende lov om kritisk infrastruktur og sier at de sektorspesifikke reglene kan bli utryddet etter Royal Assent.
Blant annet vil lovforslaget om sikkerhetslovgivning (kritisk infrastruktur) 2020 tillate regjeringen å gi “bistand” til enheter som svar på betydelige cyberangrep på australske systemer. Dette inkluderer forslaget om installering av programvare som innenrikssaker hevder ville hjelpe leverandører med å håndtere trusler.
Det ville også innføre en positiv sikkerhetsforpliktelse (PSO) for kritiske infrastrukturenheter, støttet av sektorspesifikke krav og obligatoriske rapporteringskrav.
Sektor-for-sektor PSO-reglene er ennå ikke skrevet, men Home Sakssekretær Mike Pezzullo sa at disse kan komme etter at lovforslaget blir lov. Han ba om at loven ble vedtatt først og sa at det var et presserende behov for bistandsmaktene for å la Australian Signals Directorate (ASD) handle lovlig og bistå enheter som ble rammet av et cyberangrep.
“Det er [tiltak] som jeg ærlig talt foretrekker å ha på lovbøkene i kveld,” sa Pezzullo til parlamentarisk blandet komité for etterretning og sikkerhet (PJCIS) torsdag.
“Regjeringens bistand tiltakene er de som… sikkert holder meg våken om natten, manglende evne – med alle kreftene og evnene som ASD, så vel som rekkevidden de har til vår militære informasjonskrigføringsevne, ikke ved lov kan settes inn på vår nettverk, akkurat når vi snakker, akkurat nå – det er det presserende.
“Det jeg oppfordrer denne komiteen til å ta klare og direkte hensyn til, er Australias fremste informasjonsoperasjonsbyrå, Australian Signals Directorate, evne til i en nødssituasjon å gi en mer effektiv hendelsesrespons enn noe selskap muligens kunne.”
Senatorer reiste bekymring for at ministeren skulle gis makt til å bestemme reglene, snarere enn parlamentet. Pezzullo sa at hver parlamentslov utpeker en beslutningstaker, og i dette tilfellet var det innenriksministeren.
Han argumenterte for at ministeren må bestemme seg for terskler og definisjoner som er fastsatt i lovverket, og hevdet at det ville være en slitsom prosess hvis hver regel måtte komme tilbake til parlamentet.
“Vil det være betimelig med å ha stemmer fra parlamentet … i tilfellet der en plikt kanskje må flyttes raskt? ” spurte han.
Å tilbakevise forslaget om at lovforslaget var “halvbakt” Pezzullo bemerket også at reglene ble utformet på en meddesignet måte.
Høring av reglene er allerede i gang, og avdelingen går fremover som om loven ble vedtatt.
Pezzullo sa at hver utpekte sektor neppe vil få sine respektive regler ferdigstilt samtidig. En del av saken, sa Pezzullo, var engasjementet fra den andre siden.
“Vi er i et slags sirkulært paradoks til vi forstår hva våre juridiske forpliktelser skal være,” sa han. “Og ikke urimelig, dette er store selskaper som har styrer, de har plikter i henhold til selskaper og annen lov … så vi kan møte opp og vi kan si,” her er et utkast til regel, vi vil gjerne ha kommentarer 'og vanligvis kommer de sporede endringene ikke tilbake fra teknikerne, men fra advokatene.
“Det er helt forståelig … men det jeg sier er at så lenge du har den spiralen” vi er ikke helt sikre “og regjeringen sier” ja, men vi vil gjerne ha ditt tekniske syn “, uten tvil vil reglene aldri være tilfredsstillende, fordi du på et tidspunkt må si 'penn ned, eksamen over'. “
Uten lovforslaget i seg selv ville imidlertid meddesignprosessene ikke være en lovgivende retning.
Med tanke på det, argumenterte Pezzullo for at avdelingens manglende evne til å svare på spesifikke spørsmål fra en bestemt sektor ikke fjerner behovet for at lovforslaget skal vedtas eller regelen skal settes.
Mange innsendere til PJCIS er forsiktige med at lovforslaget vil duplisere eksisterende lovgivningsretninger, for eksempel innen telekommunikasjon, helse og bank. ” faktisk er det på pennen min … Jeg er tilfeldigvis den offiseren, og jeg kan fortelle deg at TSSR er utilstrekkelig for dette formålet, jeg kan absolutt forsikre deg fordi vi er regulatoren, “sa han.
< p>“Hvis noen kan forsikre meg om at den som regulerer disse apotekavtalene har tilgang til topphemmelig kodeordinformasjon, som har en dyp forståelse av trusselmiljøet og vet hvilke defensive evner som kan monteres ytterligere gjennom ASD -regi, så kan jeg komme til et annet syn. “
Han sa at han ville fraråde den primære lovgivningen å fange opp spesifisitetsnivået som ville kreves i reglene for hver sektor – ikke fordi innenrikssaker ønsket å gjøre dem opp slik det var går med, og heller ikke at den ikke forstår hver sektor.
“Vi har et sterkt avansert syn som vi respekterer denne komiteen om den relative balansen som bør oppnås med hensyn til hva som er i den primære lovgivningen, og hva som bør være tilgjengelig i regelfremstillingsprosessen,” gjentok han.
Som Amazon Web Services, Microsoft, Google og Atlassian har alle tynget den truende regningen, og de to sistnevnte selskapene fortalte PJCIS i forrige måned at de ikke trengte hjelp fra den australske regjeringen og at installasjon av programvare ville gjøre mer skade enn godt.
“Modenheten og raffinementen til selskapene som vi har hørt fra, min slags umiddelbare respons er, vel, det håper jeg ikke. Det er akkurat det vi håper deres posisjon er at de ikke trenger oss for å hjelpe dem med å forsvare sine nettverk, “ASD-generaldirektør Rachel Noble sa til PJCIS.
“Vår fortrinnsrett er at vi bare installerer programvare, som skjer for øyeblikket med enheter som samarbeider med oss når enheten ikke har mulighet til å levere teknisk telemetri eller systeminformasjon, for å hjelpe dem med en hendelse svar.
“Denne typen ideer om at ASD kommer til å kjøre rundt og sette programvare villy-nilly er litt av en karikatur. Vår operative preferanse er at de kan gi oss det uten at det trenger å skje, og i mange tilfeller gjør det absolutt det. “
Pezzullo sa at regjeringens første preferanse var å samarbeide og i partnerskap med enheten.
“Risikoen for Australias nasjonale interesser, etter regjeringens syn, er imidlertid for stor til å ikke ha et klart, etablert rammeverk foran en hendelse for å fungere som en siste utvei i en nasjonal nødssituasjon, hvis en enhet er uvillig eller ute av stand til å gjøre det som er nødvendig, “sa han.
MER OM REGNINGEN
Lov om kritisk infrastruktur har et regjeringens 'skritt i' makt -merking av problemer. Teknologigiganter sier at statlig cyberhjelp ganske enkelt ville forårsake flere problemer Logistikk og leverandører av tjenester, samtykker i å hjelpe fra ASD i tilfelle en cyberhendelse
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 