Minister van Binnenlandse Zaken Mike Pezzullo
Screenshot: Asha Barbaschow/ZDNet
De Het ministerie van Binnenlandse Zaken heeft verzocht om spoed voor de goedkeuring van de dreigende kritieke infrastructuurwet van het land, en zegt dat de sectorspecifieke regels na de koninklijke goedkeuring kunnen worden afgeschaft.
Onder andere de wijziging van de veiligheidswetgeving (kritieke infrastructuur) Bill 2020 zou de overheid in staat stellen om “bijstand” te bieden aan entiteiten in reactie op significante cyberaanvallen op Australische systemen. Dit omvat het voorstel om software te installeren waarvan Binnenlandse Zaken beweert dat het providers zou helpen bij het omgaan met bedreigingen.
Het zou ook een positieve beveiligingsverplichting (PSO) invoeren voor kritieke infrastructuurentiteiten, ondersteund door sectorspecifieke vereisten en verplichte rapportagevereisten.
De PSO-regels per sector moeten nog worden geschreven, maar Home Minister van Zaken Mike Pezzullo zei dat deze zouden kunnen komen nadat het wetsvoorstel wet wordt. Hij riep op om eerst de wet aan te nemen en zei dat er een dringende behoefte was aan de hulpbevoegdheden om het Australian Signals Directorate (ASD) in staat te stellen wettig te handelen en entiteiten die door een cyberaanval zijn getroffen, bij te staan.
“Dat [zijn] maatregelen die ik eerlijk gezegd liever vanavond in de wetboeken zou hebben”, zei Pezzullo donderdag tegen de Paritaire Parlementaire Commissie voor Inlichtingen en Veiligheid (PJCIS).
“De overheidssteun maatregelen zijn degenen die … mij zeker 's nachts wakker houden, het onvermogen – met alle bevoegdheden en capaciteiten die de ASD, evenals het bereik dat ze hebben in onze militaire informatieoorlogvoering, bij wet niet kan worden ingezet op onze netwerken, op dit moment, op dit moment — dat is de dringende urgentie.
“Waar ik deze commissie op aandring om duidelijke en directe aandacht te schenken, is het vermogen van Australië's belangrijkste informatie-operatiebureau, het Australian Signals Directorate, om in een noodgeval een effectievere reactie op incidenten te kunnen geven dan welk bedrijf dan ook zou kunnen.”
Senatoren maakten zich zorgen dat de minister de bevoegdheid zou krijgen om de regels te bepalen, in plaats van het parlement. Pezzullo zei dat elke wet een besluitvormer aanwijst, en in dit geval de minister van Binnenlandse Zaken.
Hij voerde aan dat de minister zijn besluit moet nemen tegen de drempels en definities die in de wetgeving zijn vastgelegd en beweerde dat het een slopend proces zou zijn als elke regel terug zou moeten komen naar het parlement.
“Zou het een slopend proces zijn als elke regel terug zou moeten komen naar het parlement. op tijd zijn om stemmen van het Parlement te krijgen … in het geval dat een verplichting misschien snel moet worden verplaatst?” hij vroeg.
Te weerleggen van de suggestie dat het wetsvoorstel “halfbakken” was, merkte Pezzullo ook op dat de regels op een mede-ontworpen manier werden vormgegeven.
Overleg over de regels is al aan de gang en de afdeling gaat vooruit alsof de wet is aangenomen.
Pezzullo zei dat het onwaarschijnlijk is dat voor elke aangewezen sector tegelijkertijd hun respectievelijke regels worden afgerond. Een deel van het probleem, zei Pezzullo, was de verloving van de andere kant.
“We zitten in een soort cirkelparadox totdat we begrijpen wat onze wettelijke verplichtingen [zullen] zijn,” zei hij. “En niet onredelijk, dit zijn grote bedrijven met raden van bestuur, ze hebben plichten op grond van vennootschaps- en andere wetten… ' en meestal komen de bijgehouden wijzigingen niet terug van de technici, maar van de advocaten.
“Dat is volkomen begrijpelijk… maar wat ik zeg is dat al zo lang, aangezien je die spiraal hebt van 'we weten het niet helemaal zeker' en de regering zegt 'ja, maar we willen graag je technische mening', aantoonbaar zullen de regels nooit bevredigend zijn, omdat je op een gegeven moment moet zeggen: 'pens neer, examen voorbij'.”
Zonder het wetsvoorstel zelf zouden de co-ontwerpprocessen echter niet een wetgevende richting zijn.
Daarmee in overweging genomen, betoogde Pezzullo dat het onvermogen van de afdeling om specifieke vragen van een specifieke sector te beantwoorden niet wegneemt dat de wet moet worden aangenomen of dat de regel moet worden vastgesteld.
Veel indieners van de PJCIS zijn voorzichtig dat het wetsvoorstel bestaande wetgevende richtlijnen zou dupliceren, zoals op het gebied van telecommunicatie, gezondheidszorg en bankieren.
“Het ministerie van Binnenlandse Zaken is de regelgever onder de Telecommunicatiewet, van de TSSR-regeling , in feite, het staat op mijn pen … Ik ben die officier, en ik kan je zeggen, de TSSR is ontoereikend voor dit doel, ik kan je absoluut verzekeren, omdat wij de toezichthouder zijn,” zei hij.
p>”Als iemand me kan verzekeren dat degene die die apotheekovereenkomsten regelt toegang heeft tot topgeheime codewoordinformatie, die een diep begrip heeft van de dreigingsomgeving en weet welke defensieve mogelijkheden verder kunnen worden gemonteerd door middel van ASD-auspiciën, dan kom ik misschien naar een andere mening.”
Hij zei dat hij zou afraden dat de primaire wetgeving de mate van specificiteit vastlegt die vereist zou zijn in de regels voor elke sector – niet omdat Binnenlandse Zaken ze wilde verzinnen omdat het meegaat, noch dat het elke sector niet begrijpt.
“We hebben een sterk vooruitstrevende mening die we deze commissie met respect voorleggen over het relatieve evenwicht dat moet worden gevonden tussen wat er in de primaire wetgeving staat en wat beschikbaar moet zijn in het regelgevingsproces”, herhaalde hij.
Mensen als Amazon Web Services, Microsoft, Google en Atlassian hebben allemaal meegewogen op de dreigende wet, waarbij de laatste twee bedrijven de PJCIS vorige maand vertelden dat ze geen hulp van de Australische overheid nodig hadden en dat de installatie van software zou meer kwaad dan goed doen.
“De volwassenheid en verfijning van de bedrijven waarvan we hebben gehoord, mijn soort onmiddellijke reactie is, nou, ik hoop van niet. Dat is precies wat we hopen dat hun standpunt is dat ze ons niet nodig hebben om hen te helpen hun netwerken te verdedigen, “ASD-directeur-generaal Rachel Noble vertelde de PJCIS.
“Onze voorkeurservaring is dat we alleen software zouden installeren, wat op dit moment gebeurt met entiteiten die met ons samenwerken wanneer die entiteit niet de mogelijkheid heeft om de technische telemetrie of systeeminformatie te verstrekken, om hen te helpen bij een incident antwoord.
“Dit soort idee dat ASD rond gaat lopen en software willekeurig gaat gebruiken, is een beetje een karikatuur. Onze operationele voorkeur is dat ze ons dat kunnen bieden zonder dat dat hoeft te gebeuren, en in veel gevallen is dat absoluut het geval.”
Pezzullo zei dat de eerste voorkeur van de regering was om samen te werken en in partnerschap met de entiteit.
“De risico's voor de nationale belangen van Australië zijn volgens de regering echter te groot om voorafgaand aan een incident geen duidelijk, vastgesteld kader te hebben om als laatste redmiddel in een nationale noodsituatie te kunnen optreden, mocht een entiteit niet bereid zijn of niet in staat is om te doen wat nodig is”, zei hij.
MEER OVER DE BIJLAGE
Kritische infrastructuur Wetsvoorstel heeft overheidsbevoegdheden om problemen te labelenTechnische reuzen zeggen dat cyberhulp van de overheid alleen maar meer problemen zou veroorzaken en nutsbedrijven komen overeen om ASD te helpen in het geval van een cyberincident
Verwante onderwerpen:
Australia Security TV Data Management CXO Datacenters 