Pemerintah Australia sedang menyusun rencana untuk mengubah undang-undang dan peraturan keamanan siber setelah serangkaian pelanggaran data tingkat tinggi yang mengguncang negara tersebut.

Pejabat pemerintah baru-baru ini merilis apa yang disebut sebagai makalah konsultasi yang menguraikan proposal spesifik dan meminta masukan dari sektor swasta dalam strategi yang dicanangkan untuk memposisikan negara ini sebagai pemimpin dunia dalam keamanan siber pada tahun 2030.

Selain mengatasi kesenjangan dalam undang-undang kejahatan dunia maya yang ada, legislator Australia berharap untuk mengamandemen Undang-Undang Keamanan Infrastruktur Kritis (SOCI) tahun 2018 agar lebih menekankan pada pencegahan ancaman, pembagian informasi, dan respons terhadap insiden dunia maya.

Kelemahan dalam kemampuan respons insiden dunia maya Australia terungkap dalam serangan dunia maya pada bulan September 2022 terhadap penyedia telekomunikasi Optus, yang diikuti pada bulan Oktober oleh serangan berbasis ransomware serangan terhadap penyedia asuransi kesehatan Medibank.

Jutaan catatan sensitif, termasuk data biometrik pada SIM dan foto paspor terungkap setelahnya penyerang mengambil database Optus berisi catatan konsumen; itu Pelanggaran Medibank mengungkap jutaan catatan kesehatan pasien.

“Kedua pelanggaran tersebut terjadi karena kesalahan mendasar dan kebersihan dunia maya yang buruk, sehingga keduanya dapat dihindari,” kata Richard Sorosina, kepala petugas keamanan teknis untuk Qualys Australia dan Selandia Baru.

Ketahanan dunia maya Australia berada di bawah pengawasan yang ketat pada bulan November 2023 ketika pemadaman listrik secara nasional menyebabkan sambungan telepon tidak bergerak dan seluler Optus terputus. pelanggan tanpa akses Internet. Pemadaman ini disebabkan oleh masalah pembaruan tabel perutean Border Gateway Protocol (BGP).

Kemudian terjadilah serangan siber besar-besaran beberapa hari kemudian terhadap industri pelayaran yang menyebabkannya gangguan berkepanjangan di empat pelabuhan Australia.

Reformasi Strategi Siber

Serangan siber terhadap Optus, Medibank, dan pelabuhan-pelabuhan negara merupakan insiden publik yang berdampak pada warga negara dan dunia usaha, sehingga mendorong keamanan siber menjadi agenda politik negara tersebut. Sebagai tanggapan, pemerintah Australia merevisi strategi keamanan siber dan meluncurkannya proses konsultasi mengenai reformasi legislatif dan peraturan.

Clare O'Neil, Menteri Keamanan Siber Australia, mengatakan dalam sebuah pernyataan bahwa pemerintah berkomitmen untuk bekerja sama dengan sektor swasta untuk mengantarkan “era baru kemitraan publik-swasta untuk meningkatkan keamanan dan ketahanan siber Australia.”

Undang-undang keamanan siber baru yang diusulkan Australia mencakup berbagai langkah, termasuk mewajibkan standar desain yang aman untuk perangkat Internet of Things (IoT), menetapkan aturan pelaporan ransomware, menciptakan kewajiban “penggunaan terbatas” untuk berbagi informasi insiden, dan menetapkan kewajiban “penggunaan terbatas” untuk berbagi informasi insiden. Dewan Peninjau Insiden Cyber ​​nasional.

Agenda yang juga dibahas adalah reformasi Undang-Undang Keamanan Infrastruktur Kritis tahun 2018, yang bertujuan untuk mengatasi kelemahan keamanan siber yang terungkap akibat pelanggaran yang terjadi baru-baru ini.

Revisi ini termasuk memberikan panduan yang lebih preskriptif untuk industri penting seperti utilitas dan telekomunikasi, menyederhanakan pembagian informasi, memberikan arahan untuk program manajemen risiko, dan mengkonsolidasikan persyaratan keamanan untuk sektor telekomunikasi berdasarkan UU SOCI untuk infrastruktur penting.

Casey Ellis, pendiri, ketua, dan kepala strategi Bugcrowd, mengatakan pemerintah Australia mengambil langkah yang tepat. “Makalah konsultasi [Strategi Keamanan Siber] membahas keamanan IoT, pelaporan ransomware, pembagian insiden, serta manajemen, pelaporan, dan akuntabilitas infrastruktur penting, yang tentunya merupakan area yang lemah dalam kebijakan Australia,” kata Ellis.

Negara Besar, Tantangan Keamanan Siber Besar

Luasnya wilayah Australia membuat sulit untuk melindungi infrastruktur penting, terutama untuk industri strategis seperti pertambangan, yang sangat tersebar dan berlokasi di lokasi terpencil.

Sementara itu, sektor pertambangan, maritim, dan utilitas lainnya mulai meninggalkan teknologi lama dan beralih ke teknologi yang terhubung ke Internet dan IoT untuk mengelola dan memantau infrastruktur mereka secara lebih efisien. Namun penerapan transformasi digital ini sering kali membuat peralatan lama rentan terhadap ancaman dunia maya.

“Untuk memastikan serangan-serangan seperti yang terjadi di pelabuhan-pelabuhan Australia tetap terisolasi dan tidak terjadi secara umum, pemerintah sudah sepantasnya mencari cara untuk membuat undang-undang mengenai Kebijakan Infrastruktur Nasional yang Penting dan mencari negara-negara lain untuk mengambil pelajaran tentang cara melindungi peningkatan serangan yang terjadi di permukaan bumi. keluar dari konvergensi IT/OT,” kata Shane Read, CISO di Goldilock, sebuah startup keamanan siber fisik.

Namun, Australia tidak memiliki skala dan populasi yang cukup untuk melakukan hal tersebut – sehingga jika memungkinkan, mengacu pada standar global yang sudah diketahui adalah hal yang masuk akal, menurut para ahli independen.

“Australia telah meminta panduan dari Inggris/AS/UE dalam hal kebijakan keamanan siber,” kata Sorosina dari Qualys.

Seperti banyak negara lainnya, Australia sedang berjuang untuk menjembatani kesenjangan keterampilan keamanan siber.

Phillip Ivancic, kepala solusi APAC di Synopsys Software Integrity Group, mengatakan bahwa karena populasi yang kecil dibandingkan dengan ukuran perekonomian, terdapat “kekurangan besar insinyur terampil dan pakar keamanan siber” di Australia.

“Itulah mengapa langkah pemerintah untuk bersikap lebih preskriptif dan memberikan panduan nyata berdasarkan standar, serta memaksakan perubahan melalui mandat, harus disambut baik,” kata Ivancic. “Kita tidak mempunyai skala untuk melakukannya sendiri, dan mewajibkan standar internasional yang sudah banyak digunakan adalah pendekatan yang tepat.”

Proposal kebijakan pemerintah tidak memiliki elemen kunci seperti kontrol di sekitar rantai pasokan perangkat lunak, seperti daftar bahan perangkat lunak yang mencantumkan komponen-komponen yang membentuk aplikasi, menurut Ivancic. Itu adalah “kesenjangan yang mencolok,” katanya.

Investasi Besar dalam Keamanan Siber

Jalan untuk menjadi negara dengan keamanan siber bukan semata-mata tanggung jawab pemerintah. Menyadari kepentingan mereka sendiri dalam meningkatkan praktik keamanan siber, sektor swasta di Australia juga melakukan investasi besar dalam meningkatkan praktik keamanan informasi.

Organisasi-organisasi Australia akan menghabiskan lebih dari AU$7.3 miliar untuk produk dan layanan keamanan informasi dan manajemen risiko pada tahun 2024, meningkat sebesar 11.5% dari tahun 2023, menurut Gartner. Keamanan cloud akan mengalami peningkatan terbesar, yaitu sebesar A$248 juta (naik 26.9% dibandingkan tahun lalu).

Peningkatan belanja ini didorong oleh kombinasi serangan siber tingkat tinggi dan peningkatan kewajiban terhadap peraturan, tulis Gartner.

Ellis dari BugCrowd yakin upaya Australia untuk menjadi pemimpin keamanan siber dapat dicapai. “Australia selalu menjadi negara yang penuh inovator dan pelanggar aturan, dan saya yakin bahwa tujuan untuk menjadi pemimpin dunia dalam keamanan siber, meskipun ambisius, adalah tujuan yang dapat dicapai.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks