Канбера предлага рейтинги на IoT „звезди“ и задължителни кибер стандарти за голям бизнес

Федералното правителство иска да укрепи австралийските регламенти за киберсигурност и предложи седем области за реформа на политиката, включително въвеждане на задължителни стандарти за управление за по-голям бизнес, кодекс за това как се обработва личната информация и система за регулиране на интелигентни устройства.

В опит да “допълнително защити икономиката от заплахи за киберсигурност”, правителството е предлагане [PDF] или доброволен, или задължителен набор от стандарти за управление за по-големи предприятия, които биха “описвали отговорностите и ще осигуряват подкрепа на съветите”.

Докато същността на двата варианта е сходна, задължителният код ще изисква обхванатите обекти да постигнат съответствие в рамките на определен срок. Задължителният код също ще приложи прилагането. Доброволната опция не изисква прилагане на специфичен технически контрол и по-скоро ще се третира като предложение.

Правителството би предпочело кодексът да е доброволен, но казвайки, че “в баланс задължителният стандарт може да бъде твърде скъп и обременителен, предвид текущото състояние на управление на киберсигурността и в разгара на икономическото възстановяване в сравнение с ползите, които би осигурил” .

Той също така отбеляза, че няма съществуващ регулатор със съответните умения, опит и ресурси за разработване и администриране на задължителен стандарт.

Междувременно малкият бизнес е предложил функция за „проверка на киберздравословието“.

Доброволната програма за проверка на киберсигурността ще позволи на малкия бизнес да получи знак за доверие, който би могъл да използва в маркетинга. Фирмите, кандидатстващи за здравен преглед, биха оценили собственото си съответствие с основно ниво на надлежна проверка, предоставено от правителството или трета страна, посочва вестникът. Той също ще изтече след 12 месеца.

Тази идея е извлечена от програмата на британското правителство, наречена Cyber ​​Essentials.

Документът също така предлага създаването на приложим кодекс съгласно федерален законодателен акт, който да увеличи приемането на стандарти за киберсигурност. Според него Законът за поверителност има най-голям потенциал да установи широки стандарти за киберсигурност по отношение на личната информация.

„Създаването на кодекс съгласно Закона за поверителност би могло да стимулира приемането на стандарти за киберсигурност в цялата икономика чрез създаване на регулаторни стимули за приемане“, се казва в него.

Този кодекс би посочил минимални подходи, а не най-добри практики, но заяви, че е нереалистично да се наложи основната осмица на Австралийската дирекция за сигнали чрез кодекс за киберсигурност.

Вижте също: ACSC въвежда Essential Eight нулево ниво на кибер зрелост и подравнява нивата към tradecraft

Кодът за киберсигурност обаче ще има някои ограничения и би се прилагал само за защитата на личната информация. Кодът би се прилагал само за субекти, които са обхванати от Закона за поверителност.

Правителството също така обмисля регулаторни подходи за увеличаване на отговорните политики за разкриване, като отново предлага доброволен и задължителен вариант.

Доброволният вариант би видял правителствените инструкции или набори от инструменти за промишлеността относно процеса на разработване и прилагане на отговорни политики за разкриване. Според него задължителната опция може да бъде включена в потенциалния стандарт за киберсигурност за лична информация.

Документът също така обсъжда въвеждането на ясни правни средства за защита на потребителите след инцидент с киберсигурност, тъй като в момента има ограничени правни възможности за потребителите да търсят средства за защита или обезщетение.

Той пита респондентите какви изменения могат да бъдат направени в Закон за поверителността от 1988 г. и австралийския закон за потребителите, за да обхване в достатъчна степен киберсигурността, както и какви други действия трябва да обмисли правителството.

Предлага се и регулиране на IoT устройства.

„Вярваме, че една от причините много интелигентни устройства да са уязвими е, че конкуренцията на пазара се основава предимно на нови функции и разходи“, казва вестникът. „За съжаление потребителите често не могат да различат разликата между защитеното и несигурното устройство, което ограничава търговските стимули да се конкурират по отношение на киберсигурността и кара потребителите да поемат несъзнателно риска от киберсигурност.“

В опит да смекчи това, правителството миналата година освободи доброволното Кодекс на практиката: Осигуряване на Интернет на нещата за потребителите който съдържа 13 принципа или очакванията на правителството към производителите относно сигурността на интелигентните продукти.

Документът за дискусия предлага да се направи това по-нататък и да се направи кодът задължителен. Стандартът ще изисква производителите да прилагат базовите изисквания за киберсигурност за интелигентни устройства.

Той също така смята, че потребителите понастоящем не разполагат с инструменти, за да разберат лесно дали смарт устройствата са „киберсигурни“, тъй като често липсва ясна, достъпна информация, която да им е на разположение.

Потенциално коригиращи това са предложения, които биха включили въвеждането на доброволен етикет за оценка на звездите или задължителен етикет с дата на изтичане.

Подробностите за начина, по който биха се оформили, са тънки, но дискусионният документ описва подобни схеми, които се провеждат във Великобритания и Сингапур. Схемата в Сингапур се състои от четири нива на киберсигурност, като всяко от тях показва по-високо ниво на сигурност и / или допълнителни тестове за сигурност.

Междувременно задължителният етикет с дата на изтичане ще показва продължителността на времето, през което ще бъдат предоставени актуализации на защитата за интелигентното устройство. Този тип етикет няма да изисква независимо тестване на сигурността и следователно би бил подход с по-ниски разходи в сравнение с етикет със звезди, заяви правителството. В таблицата си “за и против” правителството подчертава опцията за срок на годност като предпочитан начин за напредък.

Изявленията по дискусионния документ приключват на 27 август 2021 г.

ПОСЛЕДНА КИБЕРНА ОТ КАНБЕРА

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com