在一系列震惊全国的破坏性的、引人注目的数据泄露事件发生后,澳大利亚政府正在制定计划修改网络安全法律和法规。
政府官员最近发布了一份所谓的咨询文件,其中概述了具体建议,并征求私营部门的意见,以制定一项到 2030 年将国家定位为网络安全世界领导者的战略。
除了弥补现有网络犯罪法律的空白之外,澳大利亚立法者还希望修订该国的《2018 年关键基础设施安全 (SOCI) 法案》,以更加重视威胁预防、信息共享和网络事件响应。
2022 年 XNUMX 月针对电信提供商 Optus 的网络攻击暴露了澳大利亚网络事件响应能力的弱点,随后 XNUMX 月又发生了基于勒索软件的攻击 对健康保险公司 Medibank 的攻击.
数以百万计的敏感记录,包括驾照和护照照片中的生物识别数据被曝光 攻击者窃取了 Optus 数据库 包含消费者记录;这 Medibank 违规 暴露了数百万患者的健康记录。
Qualys 澳大利亚和新西兰首席技术安全官理查德·索罗西纳 (Richard Sorosina) 表示:“这两起泄露事件都是由于基本错误和不良的网络卫生造成的,因此它们是可以避免的。”
2023 年 XNUMX 月,澳大利亚的网络弹性受到了痛苦的审查,当时全国范围内的服务中断导致 Optus 的固定电话和移动电话瘫痪 无法访问互联网的客户。此次中断归咎于边界网关协议 (BGP) 路由表更新问题。
几天后,航运业遭遇大规模网络攻击,导致 澳大利亚四个港口长期中断.
网络战略改革
针对 Optus、Medibank 和国家港口的网络攻击是影响公民和企业的高度公开事件,这将网络安全推上了国家政治议程的更高位置。对此,澳大利亚政府修订了网络安全战略并推出 咨询过程 关于立法和监管改革。
澳大利亚网络安全部长克莱尔·奥尼尔 (Clare O'Neil) 在一份声明中说: 政府致力于与私营部门合作,开创“公私伙伴关系的新时代,以增强澳大利亚的网络安全和复原力”。
澳大利亚新提议的网络安全立法涵盖了广泛的措施,包括强制物联网(IoT)设备采用安全设计标准、建立勒索软件报告规则、为事件信息共享制定“有限使用”义务,以及建立国家网络事件审查委员会。
议程上还有对《2018 年关键基础设施安全法》的改革,旨在解决最近的违规事件暴露的网络安全缺陷。
这些修订包括为公用事业和电信等关键行业提供更具规范性的指导、简化信息共享、为风险管理计划提供指令,以及根据《SOCI 法案》整合关键基础设施对电信部门的安全要求。
Bugcrowd 创始人、董事长兼首席战略官凯西·埃利斯 (Casey Ellis) 表示,澳大利亚政府正在采取正确的举措。 “[网络安全战略]咨询文件涉及物联网安全、勒索软件报告、事件共享以及关键基础设施管理、报告和问责制,这些无疑都是澳大利亚政策的软弱领域,”埃利斯说。
大国,巨大的网络安全挑战
澳大利亚幅员辽阔,因此很难保护关键基础设施,尤其是采矿业等战略性行业,这些行业高度分散且地点偏远。
与此同时,采矿、海事和其他公用事业正在放弃传统技术,采用互联网连接和物联网技术,以更有效地管理和监控其基础设施。但这种数字化转型的拥抱往往使传统设备面临网络威胁。
“为了确保像澳大利亚港口这样的攻击保持孤立而不是经常发生,政府正在正确地研究如何立法一项关键的国家基础设施政策,并寻求其他国家学习如何保护不断增加的攻击面的经验教训。 “IT/OT 融合”,物理网络安全初创公司 Goldilock 的首席信息安全官 Shane Read 说道。
然而,独立专家表示,澳大利亚缺乏单独行动的规模和人口,因此尽可能参考已知的全球标准是有意义的。
“澳大利亚在网络安全政策方面向英国/美国/欧盟寻求指导,”Qualys 的索罗西纳指出。
与许多其他国家一样,澳大利亚正在努力缩小网络安全技能差距。
Synopsys Software Integrity Group 亚太区解决方案主管 Phillip Ivancic 表示,由于相对于经济规模而言人口较少,澳大利亚“严重缺乏熟练的工程师和网络安全专家”。
伊万西奇表示:“这就是为什么政府采取更具规范性、提供真正基于标准的指导以及通过授权强制变革的举措应该受到欢迎。” “我们根本没有规模来独自走出去,强制采用已经广泛使用的国际标准才是正确的做法。”
伊万西奇表示,政府的政策提案缺乏关键要素,例如对软件供应链的控制,例如列出构成应用程序的组件的软件物料清单。他说,这是一个“明显的差距”。
主要网络安全投资
成为网络安全国家的道路不仅仅是政府的责任。澳大利亚私营部门认识到改善网络安全实践的自身利益,因此也在改善信息安全实践方面进行了大量投资。
7.3年澳大利亚组织将在信息安全和风险管理产品和服务上花费超过2024亿澳元,比11.5年增长2023%, 根据Gartner的说法。云安全增幅最大,达到 248 亿澳元(同比增长 26.9%)。
Gartner 写道,支出的增加是由引人注目的网络攻击和监管义务增加共同推动的。
BugCrowd 的埃利斯相信澳大利亚成为网络安全领导者的努力是可以实现的。 “澳大利亚一直是一个创新者和打破规则的国家,我确实相信,成为网络安全世界领导者的目标虽然雄心勃勃,但却是可以实现的。”
