Il Comitato congiunto parlamentare per l'intelligence e la sicurezza (PJCIS) ha raccomandato di approvare rapidamente il disegno di legge che dovrebbe fornire al governo poteri di intervento ogni volta che un'organizzazione subisce un attacco informatico.
“Il comitato ha ricevuto prove convincenti che la complessità e la frequenza degli attacchi informatici alle infrastrutture critiche stanno aumentando a livello globale. L'Australia non è immune e c'è un chiaro riconoscimento da parte del governo e dell'industria che dobbiamo fare di più per proteggere la nostra nazione dalle sofisticate minacce informatiche, in particolare contro la nostra infrastruttura critica”, ha affermato il presidente della commissione, il senatore James Paterson.
Il disegno di legge in questione, il Security Legislation Amendment (Critical Infrastructure) Bill 2020, come attualmente redatto mira a fornire al governo poteri per intervenire e fornire “assistenza” alle entità in risposta a significativi attacchi informatici ai sistemi australiani, creare obblighi di sicurezza informatica rafforzati per quelle entità più importanti per le nazioni e introducono obblighi di sicurezza positivi (PSO) specifici del settore per le entità delle infrastrutture critiche.
Il PJCIS ha notato in un rapporto consultivo [PDF], tuttavia, che dovrebbero essere approvate solo parti del disegno di legge che si concentrano sui meccanismi di assistenza governativa e sui requisiti di notifica obbligatori, con gli aspetti “meno urgenti” del disegno di legge da introdurre in un secondo, disegno di legge separato a seguito di ulteriori consultazioni.
Il PJCIS ritiene che questo approccio in due fasi consentirebbe il rapido passaggio di leggi per contrastare le minacce incombenti contro le infrastrutture critiche dell'Australia, dando alle imprese e al governo ulteriore tempo per co-progettare un regolamento quadro che fornisce sicurezza a lungo termine per le infrastrutture critiche del paese.
Insieme a questa raccomandazione principale, l'advisory ha fornito altre raccomandazioni che descrivono in dettaglio come dividere il disegno di legge.
I poteri che il PJCIS vuole vedere passare immediatamente sono i meccanismi di assistenza del governo, colloquialmente definiti poteri di “ultima risorsa”. , che comportano il conferimento al governo di poteri per dirigere un'entità a raccogliere informazioni, intraprendere un'azione o autorizzare la Direzione australiana dei segnali (ASD) a intervenire contro gli attacchi informatici. Ciò include anche la proposta di installazione di software che, secondo il Dipartimento degli affari interni, aiuterebbe i fornitori a gestire le minacce.
Vuole anche che uno dei PSO nell'attuale disegno di legge, che cerca di richiedere alle organizzazioni di notificare formalmente al governo se hanno subito un attacco informatico, venga immediatamente superato.
Mentre il PJCIS sostiene l'introduzione dell'”ultimo resort”, giganti della tecnologia che operano in Australia, come Amazon Web Services, Cisco, Microsoft e Salesforce, hanno tutti preso posizione con loro, affermando che è necessaria maggiore chiarezza su come e quando tali poteri possono essere esercitati.
< p>Nel frattempo, Google ritiene che i meccanismi di assistenza fornirebbero solo più problemi.
“Non credo che ci sia una situazione in cui l'installazione di software ASD sulle nostre reti o sui nostri sistemi, soprattutto nel pieno di un incidente, sia in realtà causerà qualsiasi cosa tranne più problemi, e non aiuterà la soluzione e non aiuterà il problema in questione”, ha dichiarato a luglio il direttore del gruppo di analisi delle minacce di Google Shane Huntley.
“Il comitato riconosce che le entità interessate avranno ancora riserve sull'abilitazione delle misure di assistenza, in particolare nel settore tecnologico. Tuttavia, il comitato riconosce che la potenziale minaccia per le infrastrutture critiche è troppo grande per bloccare l'introduzione di queste misure essenziali per più”, ha scritto il comitato in risposta a tali preoccupazioni.
Tra i poteri meno urgenti che il PJCIS vorrebbe vedere introdotti in un disegno di legge successivo ci sono gli obblighi di sicurezza informatica rafforzati e i restanti PSO nell'attuale disegno di legge. Questi OSP stanno adottando e mantenendo un programma di gestione del rischio per infrastrutture critiche a tutti i rischi e fornendo informazioni sulla proprietà e operative al registro delle risorse dell'infrastruttura critica.
Il PJCIS ha affermato che questo secondo disegno di legge dovrebbe essere redatto attraverso la consultazione con l'industria .
Dall'introduzione del disegno di legge in Parlamento alla fine dello scorso anno, il Dipartimento degli affari interni ha ripetutamente chiesto che fosse approvato rapidamente, affermando che le regole specifiche del settore potrebbero essere annullate in seguito.
ALTRO SUL BILL
Gli affari interni chiedono una corsa alla legge sulle infrastrutture critiche per consentire all'ASD di agire legalmente
La legge sulle infrastrutture critiche ha un problema di etichettatura dei poteri del governo I giganti della tecnologia affermano che l'assistenza informatica del governo causerebbe semplicemente più problemi I giganti della tecnologia non sono convinti L'infrastruttura critica australiana Bill è attualmente adatta allo scopo
I fornitori di servizi di logistica e servizi accettano di aiutare l'ASD in caso di incidente informatico
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 