Campbell er journalist for ZDNet, der dækker teknologiens indvirkning på tværs af spektret af regering, lovgivning og regulering.
Fuld biografisk biografisk den 14. februar, 2022 | Emne: Sikkerhed
Billede: Getty Images
I slutningen af sidste år blev Australiens Security Legislation Amendment (Critical Infrastructure) Act 2021 lov for at give regeringens “sidste udvej” beføjelser til at dirigere en enhed, når de reagerer på cyberangreb, hvilket omfattede indførelse af et rapporteringsregime for cyberhændelser for kritiske infrastrukturaktiver .
Disse love blev oprindeligt udarbejdet til at være bredere, og indenrigsanliggender foreslog andre forpligtelser for organisationer inden for kritiske infrastruktursektorer.
Bestemmelser, der forsøgte at forankre disse forpligtelser, blev dog til sidst sat til side, idet den føderale regering besluttede at følge en anbefaling fra det parlamentariske fælles udvalg for efterretning og sikkerhed (PJCIS) om at få disse udeladte aspekter indført under et andet lovforslag.
Det andet lovforslag, ændringsforslag til sikkerhedslovgivning (Critical Infrastructure Protection) Bill 2022, blev indført i Parlamentet af indenrigsminister Karen Andrews i sidste uge.
I dette andet lovforslag søger den føderale regering at indføre risikostyringsprogrammer for kritiske infrastrukturenheder og forbedrede cybersikkerhedsforpligtelser for de enheder, der er vigtigst for nationerne, som omfatter rapportering af systemoplysninger og risikovurderinger til Australian Signals Directorate (ASD) .
Forpligtelsen til risikostyringsprogram, hvis den bliver lov, vil gælde for enheder inden for de 11 sektorer, der er klassificeret som kritiske infrastruktursektorer i det første lovforslag. De forbedrede cybersikkerhedsforpligtelser vil i mellemtiden gælde for en mindre delmængde af enheder, der besidder aktiver, der er klassificeret som systemer af national betydning.
Indenrigsminister Mike Pezzullo, som dukkede op for Senatets skøn mandag morgen, sagde, at lovforslaget for parlamentet ville skabe en standardiseret kritisk infrastrukturramme for at gøre det muligt for ASD at nærme sig cyberangreb på en forsigtig måde på grund af den yderligere information, den ville modtage.
“Indtil nu har vi ikke haft fælles nomenklatur, vi har ikke haft fælles rapporteringskadencer, vi har ikke haft fælles rapporteringsgrænser. Skulle det andet lovforslag vedtages, er vi naturligvis i parlamentets hænder, hvad det vil gøre er at give en standardiseret ramme for både regulering og drift på tværs af de 11 udpegede sektorer,” sagde Pezzullo.
Han sammenlignede også de to kritiske infrastrukturlovgivninger med at være Australiens “forsvar” mod cyberangreb, hvorimod den nationale ransomware-plan fungerer som “forseelsen”.
“Du er nødt til at gå på offensiven, og det er der, regeringens ransomware-handlingsplan fører dig. Vi er også nødt til at spille forsvar, det vil sige, du er nødt til at mindske risikoen så meget som du kan, fordi i dag er angrebsvektoren ransomware. De kriminelle og statslige aktører, der bruger ransomware, vil, når [det er blevet forpurret], så finde en anden måde,” sagde han.
Indre anliggender forelagde også et indlæg til det parlamentariske fælles udvalg for efterretning og sikkerhed (PJCIS), som påbegyndte en ny undersøgelse for at granske lovforslaget samme dag, som det blev indført i parlamentet.
I forelæggelsen sagde Home Affairs, at omkostningerne for hver enhed til at køre risikostyringsprogrammet i gennemsnit ville bestå af en engangsudgift på 9,7 millioner AU$ for at oprette det og en årlig løbende omkostning på 3,7 millioner AU$.
På grund af de omkostninger og den yderligere reguleringsmæssige byrde, som lovforslaget vil lægge på disse kritiske infrastrukturenheder, som omfatter universiteter, sagde indenrigsanliggender, at det har arbejdet tæt sammen med industrieksperter og interessenter fra på tværs af de udpegede sektorer for, hvordan bedst at håndtere denne reguleringsbyrde.
Indenrigsanliggender sagde, at programmet blev udarbejdet efter over 100 engagement med disse eksperter og interessenter.
Senere på dagen gav en anden repræsentant for indenrigsanliggender Senate Estimates flere oplysninger om deres søgen efter en leverandør til at udføre arbejde på landets identitetsmatchende tjenester. Vicesekretær for indenrigsanliggender, national modstandsdygtighed og cybersikkerhed, Marc Ablong, sagde, at hans afdelings søgen er efter en leverandør til at administrere landets identitetsmatchende tjenester og den underliggende infrastruktur.
“Det handler ikke om at komme videre med identitetsmatchningstjenesterne ud over, hvad vi i øjeblikket har godkendelse til,” sagde Ablong.
Landets identitetsmatchende tjenester består i øjeblikket af tre komponenter, hvoraf den ene er DVS, en national onlinetjeneste, der bruges til i realtid at kontrollere, om et bestemt identitetsbevis er autentisk, nøjagtig og opdateret. De to andre er et ansigtsmatchende servicecenter og en nationalt kørekort til ansigtsgenkendelse.
“[Home Affairs] indsamler ikke billederne, og vi har heller ikke en database over disse billeder. De opbevares alle i statsregistret,” tilføjede han, da han forklarede afdelingens mandat for disse tjenester.
Andre bevægelser inden for indre anliggender omfattede bekræftelse af, at en version af Digital Passenger Declaration (DPD) ville blive frigivet i morgen, hvilket vil være den første use case, der bygges på Permissions Capability Platform.
Da DPD først blev annonceret, sagde den føderale regering, at DPD ville erstatte den nuværende Australia Travel Declaration (ATD) og det papirbaserede indgående passagerkort. Til morgendagens lancering vil DPD dog kun erstatte COVID-19 ATD for øjeblikket, med overgangen til at erstatte det indgående passagerkort, der kommer på et senere tidspunkt.
Funktionelt vil DPD linke til en persons QR-kode-vaccinationscertifikat og fange væsentlig information op til 72 timer før en person går ombord på et fly. Selvom DPD vil blive lanceret i morgen, skal rejsende stadig indsende deres rejseerklæringer ved hjælp af ATD indtil udgangen af denne uge med den nye form for indsendelse, der er tilgængelig fra den 18. februar og fremefter.
Opdateret kl. 18.23 AEST, 14. februar 2022: tilføjet information om DPD-udgivelse.
Relateret dækning
Home Affairs udgiver anden lov om kritisk infrastruktur med resterende forpligtelser
Dette nye lovforslag indeholder forpligtelser, der var udelukket fra Security Legislation Amendment (Critical Infrastructure) Act 2021.
Lovforslaget om kritisk infrastruktur bør opdeles for hurtigt at give regeringen indtrædende beføjelser: PJCIS
Blandt de foranstaltninger, som PJCIS ønsker at få indført med det samme, er step-in-beføjelser og obligatoriske rapporteringskrav.
PJCIS bekymret TSSR's “gør dit bedste”-krav er ikke længere nok
Udvalget anbefaler, at der nedsættes en australsk arbejdsgruppe for telekommunikationssikkerhed, da den siger, at Telco Act ikke er nok for at sikre nationen.
PJCIS støtter udvidelse af efterretningsovervågningsbeføjelser for IGIS og sig selv
PJCIS ønsker, at dets efterretningstilsynsansvar i sidste ende udvides til det australske Føderalt politi og AUSTRAC.
Indre anliggender, der søger støtte til at opbygge Australiens identitetsmatchningssystem
Der er blevet offentliggjort et offentligt udbud, der søger nye komponenter til at bygge, implementere og hoste landets identitetsmatchende tjenester.
Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre