Австралийският телекомуникационен сектор гледа надолу по целта на предписания стандарт за сигурност

Изображение: Гети изображения

Министерството на вътрешните работи отстрани опасенията на индустрията, че Закон за сигурността на критичната инфраструктура (SoCI Act) дублира задълженията, открити в реформите за сигурност на сектора на далекосъобщенията (TSSR).

Що се отнася до департамента, вместо да се припокриват режими, ще има “един континуум” на регулиране, където Законът за далекосъобщенията е от първостепенно значение, но части от Закона за SoCI ще бъдат “активирани”, за да запълнят пропуските.

„В обяснителния меморандум за измененията на Закона за сигурност на критичната инфраструктура много ясно се посочва, че там, където съществува първично законодателство, което регулира дейността на сектор от критична инфраструктура, това основно законодателство остава действащо“, заяви заместник-секретарят по вътрешните работи за националната устойчивост и киберсигурност Марк Аблонг пред парламентарната съвместна комисия по разузнаване и сигурност в четвъртък.

„До степен, в която трябва да разгледаме измененията на този акт – незначителни по своята същност – за да гарантираме, че той съответства на положителните задължения за сигурност, посочени в [SoCI] Бил, бихме направили това по Закона за телекомуникациите. ”

Две такива пропуски в Закона за телекомуникациите, които Аблонг идентифицира, са способността на правителството да подпомага компаниите, изправени пред значителна кибератака, и засилените задължения за киберсигурност.

“Ние не ги считаме за съперничещи си регулаторни режими, но части от един континуум, който започва с компании, които до голяма степен признават, че имат уникална позиция като телекомуникационни компании. До степен, че съществуващият регулаторен режим, посочен в част 14, може да бъде достатъчен, ще бъде достатъчно “, каза той.

“До степен, в която това не може да бъде достатъчно, тогава ще се прилагат измененията в Закона за сигурност на критичната инфраструктура. Но ние не смятаме това да е изненада за индустрията.”

Една област, в която TSSR е двусмислена, е изискването му доставчиците на превозни услуги да “правят всичко възможно”, за да защитят телекомуникационните мрежи и съоръжения, и както телекомуникационните компании, така и отделът смятат, че се нуждае от разяснения.

„Предполагаме, че може да се наложи по-висок стандарт, отколкото просто да се постараем“, каза Аблонг. „До степента, в която езикът в TSSR казва„ Направете всичко възможно “, ние може да го заменим с„ Трябва да отговаряте на стандарт X “, независимо от стандарта, че ние и индустрията стигаме до общо мнение за в процеса на съвместно проектиране. “

Как изглежда положителното задължение за сигурност за всеки сектор, това ще бъде процес на съвместно проектиране с индустрията за разглеждане на първичното законодателство и разработване на това, което трябва да бъде добавено, каза заместник-секретарят.

“Задължението за телекомуникационния сектор би било различно от това за банковия сектор, например”, каза Аблонг.

„Процесът на съвместно проектиране с индустрията и предоставянето им на информация за„ Ето заплахите, с които смятаме, че вашата индустрия ще се сблъска в обозримо бъдеще; тук смятаме, че основното ви законодателство изисква или ви задължава да отговаряте на определено изискване за сигурност; и това е, което повече смятаме, че бихте могли да добавите към способността си да изпълнявате задължение съгласно Закона за критичната инфраструктура, „е процес на съвместно проектиране“.

В крайна сметка Аблонг каза, че решението може да бъде да се замени формулировката “Направи всичко възможно” със стандарт, независимо дали е Essential Eight от ACSC, или стандарт от NIST или Националния център за киберсигурност на Обединеното кралство.

„В крайна сметка в разговорите, които водихме с индустрията … първият въпрос е: До какъв стандарт се държите като индустрия? Тогава бихте попитали: Какви мерки използвате, за да се уверите, че , срещу рисковете, за които говорихме, можете ли да се справите с тези рискове? “, каза той.

„Ако някой ми каже„ използвам стандартите NIST “, а друга индустрия каже„ използвам стандартите на NCSC от Обединеното кралство “, и двете са достатъчно стабилни, че за повечето намерения и цели вероятно бихме казали„ Това е достатъчно добре. ”

По-рано през деня Telstra и Optus изразиха опасения, че Центърът за критична инфраструктура трябва да предоставя по-активни съвети на телекомуникационните компании, вместо просто да отговаря на сигнали от телекомуникационни компании, когато промените в услугите, системите или оборудването могат да имат “съществен неблагоприятен ефект” върху способността им да изпълняват задълженията по TSSR.

“Понастоящем получаваме наистина добри и подробни съвети, но трябва да се задейства, като изпратим уведомление или предоставим брифинг, а след това този съвет ще се върне”, заяви ръководителят на националната киберсигурност на Telstra Дженифър Стокуел.

„Ще бъде много подробно и ще ни помогне да разберем риска за конкретния проект, но би било много полезно да имаме повече предварително, защото тогава, когато работя всеки ден с нашите мрежови инженери и оперативен персонал, аз може да им осигури мантинелите за начало и това наистина помага за вземането на решения и ускорява проектите. ”

През декември Optus разкри, че е отговорен за над половината от уведомленията за TSSR.

„Optus прегледа състоянието на TSSR на над 150 проекта и предложи промени през последните две години и представи официални уведомления за TSSR за 36 от тях“, се казва тогава.

„Времето за разрешаване на тези известия варира между 30 дни и осем месеца.“

В четвъртък регулаторният директор на Telstra Джон Лафлин заяви, че най-голямата телекомуникационна компания в Австралия е възприела различен подход.

„Умишлено сме предприели подход, при който уведомяваме за смекчен риск“, каза той.

„Ние подаваме уведомление само след като всички системи и контроли са на място, където все още вярваме, че има съществен неблагоприятен ефект върху способността ни да изпълним задължението за сигурност.“

Stockwell добави, че Telstra уведомява само за крайното решение.

“Неограниченият риск е риск, който няма да бъде реализиран, при условие че имаме адекватни смекчаващи мерки за контрол,” каза тя.

„Наистина е важно да споменем, че ранната ангажираност с критичния инфраструктурен център и способността да се осъществи такава ранна ангажираност е от решаващо значение за информирането на тези контроли, така че да поставим всички подходящи смекчаващи мерки, като вземем предвид пълното разбиране на пейзажа на заплахата. ”

Дали поради лоша подготовка или замъгляване, Лафлин не успя да предостави на комитета броя на уведомленията, предоставени от Телстра, освен да каже, че е „значително по-малко“ от Optus.

Разликите в праговете за уведомяване са една от причините вътрешните работи да искат „разговор“ с телекомуникационните компании във фазата на съвместно проектиране, за да се види дали правителството и частният сектор имат различни виждания за риска.

„Ако те са мислили за това чисто от гледна точка, например, на способността на някого да прекъсне магистралните кабели и следователно на неспособността им да предоставят услуга на част от Австралия, бихме били еднакво загрижени за способността на някой да хакне в или прихващат комуникации, пренасяни по техните мрежи, но ако те не считат това за съществен риск, тогава няма да ни уведомяват или да докладват за такива неща “, каза Аблонг.

Заместник-секретарят добави, че законопроектът за критичната инфраструктура е необходим в светлината на неотдавнашния инцидент с колониалния тръбопровод.

„Критичните изменения на инфраструктурата … в голяма степен обхващат това, което е необходимо, за да може Австралия да има по-голяма увереност, че онези неща, които сме виждали например с колониалния тръбопровод, например в САЩ, са по-малко вероятно да се случат тук, че предприехме всички необходими мерки за защита на нашата критична инфраструктура и за субектите, участващи в онези сектори на икономиката, които биха могли да се считат за критична инфраструктура, да са се защитили. ”

От другата страна на оградата е Комуникационният алианс, който представи предложение или да отмени задълженията за уведомяване на TSSR, или да освободи телекомуникационните дружества, които попадат в Закона за критичната инфраструктура.

„Много бихме предпочели сигурността, която идва с отмяната на разпоредби, които биха могли да създадат дублиране, за разлика от разчитането на добрата воля и най-добрите усилия на агенциите с течение на времето, за да се избегне това чрез положителни собствени решения“, каза главният изпълнителен директор на Comms Alliance Джон Стантън.

„Времето върви напред, хората продължават напред и би било за предпочитане от наша гледна точка, ако изискванията и задълженията са ясни и в законодателството, а не подлежат на вземане на изпълнителни решения.“

Свързано покритие

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com