Avstralska vlada pripravlja načrte za prenovo zakonov in predpisov o kibernetski varnosti po vrsti škodljivih odmevnih vdorov podatkov, ki so pretresli državo.
Vladni uradniki so pred kratkim objavili tako imenovani posvetovalni dokument, ki je orisal konkretne predloge in zahteval prispevke zasebnega sektorja v razglašeni strategiji, da bi država do leta 2030 postala vodilna v svetu na področju kibernetske varnosti.
Poleg odpravljanja vrzeli v obstoječih zakonih o kibernetskem kriminalu avstralski zakonodajalci upajo, da bodo spremenili državni zakon o varnosti kritične infrastrukture (SOCI) iz leta 2018, da bi dali večji poudarek preprečevanju groženj, izmenjavi informacij in odzivu na kibernetske incidente.
Slabosti v avstralskih zmožnostih odzivanja na kibernetske incidente so bile razkrite v kibernetskem napadu na ponudnika telekomunikacij Optus septembra 2022, ki mu je oktobra sledil napad na izsiljevalsko programsko opremo. napad na ponudnika zdravstvenega zavarovanja Medibank.
Po tem je bilo razkritih na milijone občutljivih zapisov, vključno z biometričnimi podatki v vozniških dovoljenjih in fotografijah potnih listov napadalci so postrgali iz baze podatkov Optus ki vsebuje evidence potrošnikov; the Kršitev Medibank razkril milijone zdravstvenih kartotek bolnikov.
"Do obeh kršitev je prišlo zaradi osnovnih napak in slabe kibernetske higiene, zato se jima je bilo mogoče izogniti," pravi Richard Sorosina, glavni tehnični varnostnik za Qualys Avstralija in Nova Zelandija.
Avstralska kibernetska odpornost je bila pod bolečim nadzorom novembra 2023, ko je zaradi izpada po vsej državi Optusova fiksna in mobilna linija ostala brez stranke brez dostopa do interneta. Za izpad je bila kriva težava s posodobitvijo usmerjevalne tabele Border Gateway Protocol (BGP).
Nato je nekaj dni pozneje sledil ogromen kibernetski napad na ladijsko industrijo, ki je privedel do dolgotrajne motnje v štirih avstralskih pristaniščih.
Reforma kibernetske strategije
Kibernetski napadi na Optus, Medibank in državna pristanišča so bili zelo javni incidenti, ki so prizadeli državljane in podjetja, kar je kibernetsko varnost postavilo višje na politični dnevni red države. V odgovor je avstralska vlada revidirala svojo strategijo kibernetske varnosti in začela postopek posvetovanja o zakonodajnih in regulativnih reformah.
Clare O'Neil, avstralska ministrica za kibernetsko varnost, je dejal v izjavi da se je vlada zavezala sodelovanju z zasebnim sektorjem, da bi uvedla »novo dobo javno-zasebnega partnerstva za izboljšanje kibernetske varnosti in odpornosti Avstralije«.
Nova predlagana avstralska zakonodaja o kibernetski varnosti zajema široko paleto ukrepov, vključno z uvedbo standardov varnega načrtovanja za naprave interneta stvari (IoT), vzpostavitvijo pravila za poročanje o izsiljevalski programski opremi, vzpostavitvijo obveznosti »omejene uporabe« za izmenjavo informacij o incidentih in vzpostavitvijo nacionalni odbor za pregledovanje kibernetskih incidentov.
Na dnevnem redu tudi: reforme zakona o varnosti kritične infrastrukture iz leta 2018, ki so usmerjene v odpravo pomanjkljivosti kibernetske varnosti, ki so jih razkrile nedavne kršitve.
Te revizije vključujejo zagotavljanje bolj predpisujočih smernic za kritične industrije, kot so javne službe in telekomunikacije, poenostavitev izmenjave informacij, zagotavljanje direktiv za programe obvladovanja tveganja in konsolidacijo varnostnih zahtev za telekomunikacijski sektor v skladu z zakonom SOCI za kritično infrastrukturo.
Casey Ellis, ustanovitelj, predsednik in glavni strateški direktor Bugcrowda, pravi, da avstralska vlada dela prave poteze. »Posvetovalni dokument [Strategija kibernetske varnosti] obravnava varnost IoT, poročanje o izsiljevalski programski opremi, skupno rabo incidentov ter upravljanje kritične infrastrukture, poročanje in odgovornost, kar so vsekakor področja mehkobe v avstralski politiki,« pravi Ellis.
Velika država, veliki izzivi kibernetske varnosti
Zaradi same prostranosti Avstralije je težko zaščititi kritično infrastrukturo, zlasti za strateške industrije, kot je rudarstvo, ki je zelo razpršeno in ima lokacije na oddaljenih lokacijah.
Medtem rudarska, pomorska in druga komunalna podjetja opuščajo starejše tehnologije ter sprejemajo internetno povezane tehnologije in tehnologije interneta stvari za učinkovitejše upravljanje in spremljanje svoje infrastrukture. Toda zaradi tega objema digitalne preobrazbe je stara oprema pogosto izpostavljena kibernetskim grožnjam.
»Da bi zagotovili, da napadi, kot je tisti v avstralskih pristaniščih, ostanejo izolirani namesto običajnega pojava, vlada upravičeno proučuje, kako zakonodajno sprejeti politiko kritične nacionalne infrastrukture, in išče druge države, da se naučijo, kako zaščititi povečane napadalne površine. iz konvergence IT/OT,« pravi Shane Read, CISO pri Goldilocku, ki se ukvarja s fizično kibernetsko varnostjo.
Vendar Avstraliji manjka tako obsega kot prebivalstva, da bi šla sama - zato je po mnenju neodvisnih strokovnjakov smiselno sklicevanje na znane svetovne standarde, kadar koli je to mogoče.
»Avstralija se je za smernice glede politike kibernetske varnosti ozirala na Združeno kraljestvo/ZDA/EU,« ugotavlja Sorosina iz podjetja Qualys.
Tako kot mnoge druge države se tudi Avstralija trudi premostiti vrzel v veščinah in veščinah kibernetske varnosti.
Phillip Ivancic, vodja rešitev za APAC pri Synopsys Software Integrity Group, pravi, da zaradi majhne populacije glede na velikost gospodarstva v Avstraliji obstaja "veliko pomanjkanje usposobljenih inženirjev in strokovnjakov za kibernetsko varnost".
"Zato je treba pozdraviti potezo vlade, da bo bolj predpisujoča in da bo zagotovila resnične smernice, ki temeljijo na standardih, ter da bo prisilila spremembe z mandati," pravi Ivancic. "Enostavno nimamo dovolj velikega obsega, da bi šli sami, in uvedba mednarodnih standardov, ki se že pogosto uporabljajo, je pravi pristop."
Vladni predlogi politik nimajo ključnih elementov, kot so nadzor nad dobavno verigo programske opreme, kot so popisi materialov programske opreme, ki navajajo komponente, ki sestavljajo aplikacije, pravi Ivancic. To je "očitna vrzel," pravi.
Večje naložbe v kibernetsko varnost
Pot do kibernetske varnosti ni izključno odgovornost vlade. Zasebni sektor v Avstraliji se zaveda svojega lastnega interesa pri izboljšanju praks kibernetske varnosti in prav tako veliko vlaga v izboljšanje praks informacijske varnosti.
Avstralske organizacije bodo leta 7.3 porabile več kot 2024 milijarde avstralskih dolarjev za izdelke in storitve za informacijsko varnost ter obvladovanje tveganj, kar je 11.5-odstotno povečanje glede na leto 2023, po Gartnerju. Varnost v oblaku se bo najbolj povečala, saj se bo povečala na 248 milijonov avstralskih dolarjev (26.9 % več kot leto prej).
Povečanje porabe je posledica kombinacije odmevnih kibernetskih napadov in povečanih regulativnih obveznosti, je zapisal Gartner.
Ellis iz BugCrowda verjame, da je prizadevanje Avstralije, da postane vodilna na področju kibernetske varnosti, dosegljivo. "Avstralija je bila vedno država inovatorjev in kršiteljev pravil, in verjamem, da je cilj postati vodilna v svetu na področju kibernetske varnosti, čeprav ambiciozen, dosegljiv."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks
