De Parlementaire Paritaire Commissie voor Inlichtingen en Veiligheid (PJCIS) heeft aanbevolen dat het wetsvoorstel dat de overheid voorziet van ingrijpende bevoegdheden wanneer een organisatie wordt getroffen door een cyberaanval, snel wordt aangenomen.
“De commissie heeft overtuigend bewijs ontvangen dat de complexiteit en frequentie van cyberaanvallen op kritieke infrastructuur wereldwijd toeneemt. Australië is niet immuun en er is een duidelijke erkenning van de overheid en de industrie dat we meer moeten doen om ons land te beschermen tegen geavanceerde cyberdreigingen, met name tegen onze kritieke infrastructuur,” zei commissievoorzitter senator James Paterson.
Het wetsvoorstel in kwestie, het wetsvoorstel voor wijziging van de veiligheidswetgeving (kritieke infrastructuur) van 2020, zoals momenteel opgesteld, heeft tot doel de overheid bevoegdheden te geven om in te grijpen en “bijstand” te bieden aan entiteiten in reactie op significante cyberaanvallen op Australische systemen, verbeterde cyberbeveiligingsverplichtingen te creëren voor die entiteiten die het belangrijkst zijn voor de naties, en introduceren sectorspecifieke positieve beveiligingsverplichtingen (PSO) voor kritieke infrastructuurentiteiten.
De PJCIS merkte echter in een adviesrapport [PDF] op dat alleen delen van het wetsvoorstel die gericht zijn op mechanismen voor overheidssteun en verplichte meldingsvereisten moeten worden aangenomen, waarbij de “minder urgente” aspecten van het wetsvoorstel onder een tweede moeten worden ingediend, afzonderlijk wetsvoorstel na verder overleg.
De PJCIS is van mening dat deze tweestapsbenadering de snelle goedkeuring van wetten zou mogelijk maken om dreigende bedreigingen voor de kritieke infrastructuur van Australië tegen te gaan, terwijl bedrijven en de overheid extra tijd krijgen om samen een regelgevende raamwerk dat op lange termijn beveiliging biedt voor de kritieke infrastructuur van het land.
Naast deze hoofdaanbeveling heeft het advies ook andere aanbevelingen gegeven over hoe het wetsvoorstel moet worden opgesplitst.
De bevoegdheden die de PJCIS onmiddellijk wil zien worden aangenomen, zijn de steunmechanismen van de overheid, in de volksmond “laatste redmiddel”-bevoegdheden genoemd. , wat inhoudt dat de overheid bevoegdheden krijgt om een entiteit opdracht te geven informatie te verzamelen, een actie te ondernemen of het Australian Signals Directorate (ASD) te machtigen om in te grijpen tegen cyberaanvallen. Dit omvat ook het voorstel om software te installeren waarvan het ministerie van Binnenlandse Zaken beweert dat het providers zou helpen bij het omgaan met bedreigingen.
Het wil ook dat een van de PSO's in het huidige wetsvoorstel, dat organisaties verplicht om de overheid formeel op de hoogte te stellen als ze een cyberaanval hebben meegemaakt, onmiddellijk wordt aangenomen.
Terwijl de PJCIS de invoering van de “laatste resort”-bevoegdheden, hebben technische giganten die actief zijn in Australië, zoals Amazon Web Services, Cisco, Microsoft en Salesforce, het allemaal met hen oneens en zeggen ze dat er meer duidelijkheid moet komen over hoe en wanneer die bevoegdheden kunnen worden uitgeoefend.
< p>Ondertussen is Google van mening dat de hulpmechanismen alleen maar meer problemen zouden opleveren.
“Ik geloof niet dat er een situatie is waarin het installeren van ASD-software op onze netwerken of onze systemen, vooral in het heetst van een incident, niet mogelijk is. zal eigenlijk alles veroorzaken, behalve meer problemen, en het zal de oplossing niet helpen en het zal het probleem niet helpen”, zei Shane Huntley, directeur van de groep voor bedreigingsanalyse van Google, in juli.
“De commissie erkent dat getroffen entiteiten nog steeds bedenkingen zullen hebben bij het mogelijk maken van de hulpmaatregelen, vooral binnen de technologiesector. De commissie erkent echter dat de potentiële bedreiging voor kritieke infrastructuuractiva te groot is om de invoering van deze essentiële maatregelen voor niet langer”, schreef de commissie in reactie op die zorgen.
Een van de minder urgente bevoegdheden die de PJCIS in een later wetsvoorstel zou willen zien, zijn de verbeterde cyberbeveiligingsverplichtingen en de resterende PSO's in het huidige wetsvoorstel. Deze PSO's nemen en onderhouden een risicobeheerprogramma voor kritieke infrastructuur voor alle gevaren en verstrekken eigendoms- en operationele informatie aan het Register van kritieke infrastructuuractiva.
De PJCIS zei dat dit tweede wetsvoorstel zou moeten worden opgesteld in overleg met de industrie .
Sinds de introductie van het wetsvoorstel in het parlement eind vorig jaar, heeft het ministerie van Binnenlandse Zaken herhaaldelijk verzocht om het met spoed door te voeren, omdat het zei dat de sectorspecifieke regels later zouden kunnen worden uitgewerkt.
MEER OVER DE BILL
Binnenlandse Zaken vraagt om een spoedwet voor kritieke infrastructuurwet om ASD in staat te stellen rechtmatig te handelen
Kritische infrastructuur Bill heeft een regering 'ingrijpen' bevoegdheden om het probleem te labelenTechnische reuzen zeggen dat cyberhulp van de overheid gewoon meer problemen zou veroorzakenTechreuzen niet overtuigd De wet op de kritieke infrastructuur van Australië is momenteel geschikt voor het beoogde doel
Logistieke en nutsbedrijven komen overeen om ASD te helpen in het geval van een cyberincident
Verwante onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters 