Den australske regjeringen utarbeider planer om å fornye lover og regler for cybersikkerhet i kjølvannet av en rekke skadelige høyprofilerte datainnbrudd som rystet landet.

Offentlige tjenestemenn ga nylig ut det de kalte et høringsdokument som skisserte spesifikke forslag og ba om innspill fra privat sektor i en proklamert strategi for å posisjonere nasjonen som en verdensleder innen cybersikkerhet innen 2030.

I tillegg til å adressere hull i eksisterende lover om nettkriminalitet, håper australske lovgivere å endre landets lov om sikkerhet for kritisk infrastruktur (SOCI) 2018 for å legge større vekt på trusselforebygging, informasjonsdeling og respons på cyberhendelser.

Svakheter i Australias evner til respons på cyberhendelser ble avslørt i cyberangrepet mot telekommunikasjonsleverandøren Optus i september 2022, etterfulgt i oktober av en løsepenge-basert angrep på helseforsikringsselskapet Medibank.

Millioner av sensitive poster, inkludert biometriske data i førerkort og passbilder ble avslørt etter angripere skrapet en Optus-database som inneholder forbrukeropplysninger; de Medibank brudd avslørt millioner av pasientjournaler.

"Begge bruddene kom gjennom grunnleggende feil og dårlig cyberhygiene, så de kunne unngås," sier Richard Sorosina, sjef for teknisk sikkerhetsansvarlig for Qualys Australia og New Zealand.

Australias cybermotstandskraft kom under smertefull gransking i november 2023 da et landsomfattende avbrudd forlot Optus' fasttelefon og mobil kunder uten internettilgang. Strømbruddet ble skyldt på et problem med en oppdatering av Border Gateway Protocol (BGP) rutingtabell.

Så kom et massivt nettangrep dager senere på shippingindustrien som førte til langvarige forstyrrelser ved fire australske havner.

Reform av cyberstrategi

Cyberangrepene på Optus, Medibank og landets havner var svært offentlige hendelser som påvirket innbyggere og bedrifter, noe som presset nettsikkerhet høyere på landets politiske agenda. Som svar reviderte den australske regjeringen sin cybersikkerhetsstrategi og lanserte høringsprosessen om lov- og reguleringsreformer.

Clare O'Neil, Australias minister for cybersikkerhet, sa i en uttalelse at regjeringen var forpliktet til å samarbeide med privat sektor for å innlede en "ny æra av offentlig-privat partnerskap for å forbedre Australias cybersikkerhet og motstandskraft."

Australias nye foreslåtte cybersikkerhetslovgivning dekker et bredt spekter av tiltak, inkludert å pålegge sikre-by-design-standarder for Internet of Things (IoT)-enheter, etablere en løsepenge-rapporteringsregel, opprette en "begrenset bruk"-forpliktelse for deling av hendelsesinformasjon, og etablering av en National Cyber ​​Incident Review Board.

Også på agendaen: reformer av Security of Critical Infrastructure Act 2018, som er rettet mot å adressere cybersikkerhetsmangler avdekket av nylige brudd.

Disse revisjonene inkluderer å gi mer foreskrivende veiledning for kritiske bransjer som verktøy og telekommunikasjon, forenkle informasjonsdeling, gi direktiver for risikostyringsprogrammer og konsolidere sikkerhetskrav for telekommunikasjonssektoren under SOCI-loven for kritisk infrastruktur.

Casey Ellis, grunnlegger, styreleder og strategisjef i Bugcrowd, sier at den australske regjeringen gjør de rette grepene. "Konsultasjonsdokumentet [Cyber ​​Security Strategy] tar for seg IoT-sikkerhet, løsepengevarerapportering, deling av hendelser og styring av kritisk infrastruktur, rapportering og ansvarlighet, som alle absolutt er myke områder i australsk politikk," sier Ellis.

Stort land, store cybersikkerhetsutfordringer

Den store vidden av Australia gjør det vanskelig å beskytte kritisk infrastruktur, spesielt for strategiske industrier som gruvedrift, som er svært spredt og med steder på avsidesliggende steder.

I mellomtiden dropper gruvedrift, maritime og andre verktøy eldre teknologier og omfavner Internett-tilkoblede og IoT-teknologier for å administrere og overvåke infrastrukturen deres mer effektivt. Men denne omfavnelsen av digital transformasjon har ofte etterlatt eldre utstyr utsatt for cybertrusler.

"For å sikre at angrep som det på australske havner forblir isolert i stedet for en vanlig forekomst, ser regjeringen med rette på hvordan man kan lovfeste en kritisk nasjonal infrastrukturpolitikk og ser til andre land for å lære leksjoner om hvordan man kan beskytte økte angrepsoverflater. ut av IT/OT-konvergens, sier Shane Read, CISO hos Goldilock, en fysisk cybersikkerhetsoppstart.

Australia mangler imidlertid både omfanget og befolkningen til å gjøre det alene - så det er fornuftig å referere til kjente, globale standarder der det er mulig, ifølge uavhengige eksperter.

"Australia har sett til Storbritannia/USA/EU for veiledning når det kommer til cybersikkerhetspolitikk," bemerker Qualys' Sorosina.

Som mange andre land, sliter Australia med å bygge bro over cybersikkerhetskompetansegapet.

Phillip Ivancic, APAC-sjef for løsninger i Synopsys Software Integrity Group, sier at på grunn av den lille befolkningen i forhold til størrelsen på økonomien, er det en "stor mangel på dyktige ingeniører og cybersikkerhetseksperter" i Australia.

"Det er grunnen til at regjeringens grep om å være mer foreskrivende og gi reell standardbasert veiledning, samt å tvinge frem endring gjennom mandater, bør hilses velkommen," sier Ivancic. "Vi har rett og slett ikke skalaen til å gå ut på egenhånd, og å pålegge internasjonale standarder som allerede er mye brukt er den riktige tilnærmingen."

Regjeringens politiske forslag mangler nøkkelelementer som kontroller rundt programvareforsyningskjeder, for eksempel programvarelister som viser komponentene som utgjør applikasjonene, ifølge Ivancic. Det er et "spent gap," sier han.

Store cybersikkerhetsinvesteringer

Veien til å bli en cybersikker nasjon er ikke bare et statlig ansvar. Den private sektoren i Australia erkjenner sin egen egeninteresse i å forbedre cybersikkerhetspraksis, og gjør også enorme investeringer i å forbedre informasjonssikkerhetspraksis.

Australske organisasjoner vil bruke mer enn AU$7.3 milliarder på produkter og tjenester for informasjonssikkerhet og risikostyring i 2024, en økning på 11.5 % fra 2023, ifølge Gartner. Skysikkerhet vil ha den største økningen, og øke til A$248 millioner (opp 26.9 % fra år til år).

Økningen i utgifter er drevet av en kombinasjon av høyprofilerte nettangrep og økte regulatoriske forpliktelser, skrev Gartner.

BugCrowds Ellis mener Australias innsats for å bli en cybersikkerhetsleder er oppnåelig. "Australia har alltid vært en nasjon av innovatører og regelbrytere, og jeg tror at målet om å bli verdensledende innen cybersikkerhet, selv om det er ambisiøst, er et oppnåelig mål."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks