รัฐบาลออสเตรเลียกำลังวางแผนที่จะปรับปรุงกฎหมายและข้อบังคับด้านความปลอดภัยทางไซเบอร์ ภายหลังจากการละเมิดข้อมูลสำคัญที่สร้างความเสียหายซึ่งสร้างความเสียหายให้กับประเทศ
เจ้าหน้าที่ของรัฐเพิ่งเผยแพร่สิ่งที่เรียกว่าเอกสารปรึกษาซึ่งสรุปข้อเสนอเฉพาะและขอข้อมูลจากภาคเอกชนในกลยุทธ์ที่ประกาศไว้เพื่อวางตำแหน่งประเทศให้เป็นผู้นำระดับโลกในด้านความมั่นคงปลอดภัยทางไซเบอร์ภายในปี 2030
นอกจากจะจัดการกับช่องว่างในกฎหมายอาชญากรรมในโลกไซเบอร์ที่มีอยู่แล้ว ผู้บัญญัติกฎหมายของออสเตรเลียยังหวังที่จะแก้ไขพระราชบัญญัติความมั่นคงด้านโครงสร้างพื้นฐานที่สำคัญ (SOCI) ประจำปี 2018 ของประเทศ เพื่อให้ความสำคัญกับการป้องกันภัยคุกคาม การแบ่งปันข้อมูล และการตอบสนองต่อเหตุการณ์ทางไซเบอร์ให้มากขึ้น
จุดอ่อนในความสามารถในการตอบสนองต่อเหตุการณ์ทางไซเบอร์ของออสเตรเลียถูกเปิดเผยในการโจมตีทางไซเบอร์ในเดือนกันยายน 2022 ต่อผู้ให้บริการโทรคมนาคม Optus ตามมาในเดือนตุลาคมด้วยแรนซัมแวร์ โจมตีผู้ให้บริการประกันสุขภาพ Medibank.
บันทึกที่ละเอียดอ่อนหลายล้านรายการ รวมถึงข้อมูลไบโอเมตริกซ์ในใบขับขี่และภาพถ่ายหนังสือเดินทางถูกเปิดเผยหลังจากนั้น ผู้โจมตีขูดฐานข้อมูล Optus มีบันทึกผู้บริโภค ที่ การละเมิด Medibank เปิดเผยบันทึกสุขภาพของผู้ป่วยหลายล้านราย
“การละเมิดทั้งสองเกิดขึ้นจากข้อผิดพลาดพื้นฐานและสุขอนามัยทางไซเบอร์ที่ไม่ดี ดังนั้นจึงหลีกเลี่ยงได้” Richard Sorosina ประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยด้านเทคนิคของ Qualys Australia และ New Zealand กล่าว
ความสามารถในการฟื้นตัวทางไซเบอร์ของออสเตรเลียได้รับการตรวจสอบอย่างเจ็บปวดในเดือนพฤศจิกายน 2023 เมื่อเกิดไฟฟ้าดับทั่วประเทศส่งผลให้โทรศัพท์พื้นฐานและโทรศัพท์มือถือของ Optus ลูกค้าที่ไม่มีอินเทอร์เน็ต- การหยุดทำงานดังกล่าวเกิดจากปัญหาการอัปเดตตารางเส้นทาง Border Gateway Protocol (BGP)
จากนั้นก็เกิดการโจมตีทางไซเบอร์ครั้งใหญ่ในอุตสาหกรรมการขนส่งในอีกไม่กี่วันต่อมา การหยุดชะงักเป็นเวลานานที่ท่าเรือสี่แห่งของออสเตรเลีย.
การปฏิรูปยุทธศาสตร์ไซเบอร์
การโจมตีทางไซเบอร์ต่อ Optus, Medibank และท่าเรือของประเทศเป็นเหตุการณ์ที่เปิดเผยต่อสาธารณะอย่างมากซึ่งส่งผลกระทบต่อประชาชนและธุรกิจ ซึ่งผลักดันความปลอดภัยทางไซเบอร์ให้สูงขึ้นในวาระทางการเมืองของประเทศ เพื่อเป็นการตอบสนอง รัฐบาลออสเตรเลียจึงได้แก้ไขกลยุทธ์ความปลอดภัยทางไซเบอร์และเปิดตัว กระบวนการให้คำปรึกษา เกี่ยวกับการปฏิรูปกฎหมายและกฎระเบียบ
แคลร์ โอนีล รัฐมนตรีกระทรวงความมั่นคงปลอดภัยไซเบอร์ของออสเตรเลีย กล่าวในการแถลง ว่ารัฐบาลมุ่งมั่นที่จะทำงานร่วมกับภาคเอกชนเพื่อนำเสนอ "ยุคใหม่ของความร่วมมือระหว่างภาครัฐและเอกชนเพื่อเพิ่มความปลอดภัยทางไซเบอร์และความยืดหยุ่นของออสเตรเลีย"
กฎหมายความปลอดภัยทางไซเบอร์ที่เสนอใหม่ของออสเตรเลียครอบคลุมมาตรการที่หลากหลาย รวมถึงการบังคับใช้มาตรฐานการออกแบบความปลอดภัยสำหรับอุปกรณ์ Internet of Things (IoT) การสร้างกฎการรายงานแรนซัมแวร์ การสร้างข้อผูกพัน "การใช้งานที่จำกัด" สำหรับการแบ่งปันข้อมูลเหตุการณ์ และการสร้าง คณะกรรมการพิจารณาเหตุการณ์ไซเบอร์แห่งชาติ
นอกจากนี้ ในวาระการประชุม: การปฏิรูปพระราชบัญญัติความปลอดภัยของโครงสร้างพื้นฐานที่สำคัญปี 2018 ซึ่งมุ่งเน้นไปที่การแก้ไขข้อบกพร่องด้านความปลอดภัยทางไซเบอร์ที่ถูกเปิดเผยจากการละเมิดล่าสุด
การแก้ไขเหล่านี้ประกอบด้วยการให้คำแนะนำที่กำหนดไว้มากขึ้นสำหรับอุตสาหกรรมที่สำคัญ เช่น สาธารณูปโภคและโทรคมนาคม การทำให้การแบ่งปันข้อมูลง่ายขึ้น การให้คำสั่งสำหรับโปรแกรมการจัดการความเสี่ยง และการรวมข้อกำหนดด้านความปลอดภัยสำหรับภาคโทรคมนาคมภายใต้พระราชบัญญัติ SOCI สำหรับโครงสร้างพื้นฐานที่สำคัญ
Casey Ellis ผู้ก่อตั้ง ประธาน และประธานเจ้าหน้าที่ฝ่ายกลยุทธ์ของ Bugcrowd กล่าวว่ารัฐบาลออสเตรเลียกำลังดำเนินการอย่างถูกต้อง “เอกสารให้คำปรึกษา [Cyber Security Strategy] กล่าวถึงความปลอดภัยของ IoT การรายงานแรนซัมแวร์ การแบ่งปันเหตุการณ์ และการจัดการโครงสร้างพื้นฐานที่สำคัญ การรายงาน และความรับผิดชอบ ซึ่งทั้งหมดนี้ล้วนเป็นขอบเขตของความนุ่มนวลในนโยบายของออสเตรเลีย” เอลลิสกล่าว
ประเทศใหญ่ ความท้าทายด้านความปลอดภัยทางไซเบอร์ครั้งใหญ่
พื้นที่อันกว้างใหญ่ของออสเตรเลียทำให้ยากต่อการปกป้องโครงสร้างพื้นฐานที่สำคัญ โดยเฉพาะอย่างยิ่งสำหรับอุตสาหกรรมเชิงกลยุทธ์ เช่น เหมืองแร่ ซึ่งมีการกระจายตัวอย่างมากและมีสถานที่ตั้งอยู่ในพื้นที่ห่างไกล
ในขณะเดียวกัน การขุด การเดินเรือ และสาธารณูปโภคอื่นๆ กำลังละทิ้งเทคโนโลยีแบบเดิมและนำเทคโนโลยีที่เชื่อมต่ออินเทอร์เน็ตและ IoT มาใช้เพื่อจัดการและตรวจสอบโครงสร้างพื้นฐานได้อย่างมีประสิทธิภาพมากขึ้น แต่การเปิดรับการเปลี่ยนแปลงทางดิจิทัลนี้มักจะทำให้อุปกรณ์รุ่นเก่าต้องเผชิญกับภัยคุกคามทางไซเบอร์
“เพื่อให้แน่ใจว่าการโจมตีเช่นการโจมตีบนท่าเรือของออสเตรเลียยังคงโดดเดี่ยวแทนที่จะเกิดขึ้นทั่วไป รัฐบาลกำลังมองหาวิธีการออกกฎหมายนโยบายโครงสร้างพื้นฐานที่สำคัญแห่งชาติและมองหาประเทศอื่น ๆ เพื่อเรียนรู้บทเรียนเกี่ยวกับวิธีการปกป้องพื้นผิวการโจมตีที่เพิ่มขึ้น จากการบรรจบกันของ IT/OT” Shane Read, CISO ของ Goldilock สตาร์ทอัพด้านการรักษาความปลอดภัยทางไซเบอร์ทางกายภาพ กล่าว
อย่างไรก็ตาม ออสเตรเลียยังขาดทั้งขนาดและจำนวนประชากรที่จะเดินทางโดยลำพัง ดังนั้นการอ้างอิงมาตรฐานสากลที่เป็นที่รู้จักในทุกที่ที่เป็นไปได้จึงสมเหตุสมผล ตามความเห็นของผู้เชี่ยวชาญอิสระ
“ออสเตรเลียมองหาคำแนะนำเกี่ยวกับนโยบายความปลอดภัยทางไซเบอร์จากสหราชอาณาจักร/สหรัฐฯ/สหภาพยุโรป” Sorosina ของ Qualys กล่าว
เช่นเดียวกับประเทศอื่นๆ ออสเตรเลียกำลังดิ้นรนเพื่อลดช่องว่างทักษะด้านความปลอดภัยทางไซเบอร์
Phillip Ivancic หัวหน้าฝ่ายโซลูชั่น APAC ของ Synopsys Software Integrity Group กล่าวว่า เนื่องจากมีประชากรจำนวนไม่มากเมื่อเทียบกับขนาดเศรษฐกิจ จึงมี “การขาดแคลนวิศวกรที่มีทักษะและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จำนวนมาก” ในออสเตรเลีย
“นั่นเป็นเหตุผลว่าทำไมรัฐบาลจึงควรเข้มงวดมากขึ้น และให้คำแนะนำที่อิงมาตรฐานอย่างแท้จริง รวมถึงการบังคับเปลี่ยนแปลงผ่านข้อบังคับ จึงควรได้รับการต้อนรับ” อิวานซิชกล่าว “เราไม่มีศักยภาพพอที่จะดำเนินการได้ด้วยตัวเอง และการบังคับใช้มาตรฐานสากลที่ใช้กันอย่างแพร่หลายอยู่แล้วเป็นแนวทางที่ถูกต้อง”
ข้อเสนอนโยบายของรัฐบาลขาดองค์ประกอบสำคัญ เช่น การควบคุมห่วงโซ่อุปทานของซอฟต์แวร์ เช่น รายการวัสดุซอฟต์แวร์ที่แสดงรายการส่วนประกอบที่ประกอบขึ้นเป็นแอปพลิเคชัน ตามข้อมูลของ Ivancic นั่นคือ "ช่องว่างที่เห็นได้ชัด" เขากล่าว
การลงทุนด้านความปลอดภัยทางไซเบอร์ที่สำคัญ
เส้นทางสู่การเป็นประเทศที่มีความปลอดภัยทางไซเบอร์ไม่ได้เป็นเพียงความรับผิดชอบของรัฐบาลเท่านั้น ภาคเอกชนในออสเตรเลียตระหนักถึงความสนใจของตนเองในการปรับปรุงแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ จึงลงทุนมหาศาลในการปรับปรุงแนวปฏิบัติด้านความปลอดภัยของข้อมูล
องค์กรของออสเตรเลียจะใช้จ่ายมากกว่า 7.3 พันล้านดอลลาร์ออสเตรเลียกับผลิตภัณฑ์และบริการด้านความปลอดภัยของข้อมูลและการบริหารความเสี่ยงในปี 2024 เพิ่มขึ้น 11.5% จากปี 2023 ตาม Gartner- การรักษาความปลอดภัยบนคลาวด์จะเพิ่มขึ้นมากที่สุด โดยเพิ่มขึ้นเป็น 248 ล้านดอลลาร์ออสเตรเลีย (เพิ่มขึ้น 26.9% เมื่อเทียบเป็นรายปี)
การใช้จ่ายที่เพิ่มขึ้นนั้นได้รับแรงหนุนจากการโจมตีทางไซเบอร์ที่มีชื่อเสียงสูงและภาระผูกพันด้านกฎระเบียบที่เพิ่มขึ้น Gartner เขียน
Ellis จาก BugCrowd เชื่อว่าความพยายามของออสเตรเลียในการเป็นผู้นำด้านความปลอดภัยทางไซเบอร์นั้นสามารถทำได้ “ออสเตรเลียเป็นประเทศที่มีผู้สร้างนวัตกรรมและผู้ฝ่าฝืนกฎมาโดยตลอด และฉันเชื่อว่าเป้าหมายในการเป็นผู้นำระดับโลกด้านความปลอดภัยทางไซเบอร์ แม้จะทะเยอทะยาน แต่ก็บรรลุเป้าหมายได้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks
