Законопроектът за критичната инфраструктура има проблем с етикетирането на правомощия в правителството

Главният изпълнителен директор на австралийската комисия за киберсигурност Рейчъл Фолк предложи яснота относно спорните правителствени “стъпки” в правомощията, които трябва да бъдат узаконени съгласно Изменение на законодателството в областта на сигурността (критична инфраструктура) Законопроект за 2020 г..

Тя заяви пред Парламентарната съвместна комисия по разузнаване и сигурност (PJCIS), че в законопроекта има “малко проблем с етикетирането”, когато той се нарича “стъпка в” правомощия или правомощия за намеса.

„Не мисля, че това, което е предвидено, ако мога да го кажа, не е това, което наричаме в традиционното законодателство за корпорациите стъпка в правата, което традиционно се свързва с компании в ликвидация, в които има ликвидатори, които влизат и стъпват на мястото на компании и буквално оперират компанията, сякаш е собствена “, каза тя.

“Така че мисля, че тази сила е била погрешно разбрана и погрешно обозначена.”

Вместо това Фалк каза, че това трябва да се обясни като начин австралийската дирекция за сигнали (ASD) или нейният австралийски център за киберсигурност (ACSC) да предоставят своя опит.

„Възможно е чрез задължително предизвестие, връчено в организация, когато тя очевидно се бори да получи контрол над доста сериозна кибератака, след това те да могат да бъдат връчени със задължително предизвестие и след това да се ангажират и обсъдят с ASD “, каза тя.

“Мисля, че това, което малко се загуби тук в дебата, е, че Австралийската дирекция за сигнали са експертите тук по отношение на бракониера и пазача на дивеч, те правят това, за да си изкарват прехраната всеки ден. Мисля, че този етикет трябва да бъде премахнат. “

По време на изслушването си в четвъртък PJCIS изслуша четири големи технологични компании, които заявиха, че не се нуждаят от помощ от австралийското правителство и инсталирането на софтуер ще донесе повече вреда, отколкото полза. Но по-късно същия ден беше различна история, като представители на секторите за вода, електроенергия и логистика на страната приеха държавна помощ, ако това беше в рамките на разумното.

Като част от неговите показания, директорът по бизнес постижения на Австралийската асоциация за водни услуги Грег Райън обсъди потенциала за обезщетение или застраховка, която осигурява сигурност на организацията преди ангажирането на ASD / ACSC.

Фалк вярва, че превръщането му в „задължителен ангажимент“, вместо да бъде стъпка във властта, ще премахне необходимостта от обезщетение.

“Мисля, че има някаква визия, че Хоумър Симпсън влиза и натиска всякакви червени бутони, които в този случай може да искате сценарият за обезщетение. Мисля, че ако имаше повече задължително известие за ангажиране, те щяха да бъдат работа с засегнатата организация, а не работа като засегната организация “, каза тя.

„Така че може да означава, че няма нужда от обезщетение, защото те казват, че трябва да се ангажирате и ви съветваме да се възползвате от този съвет.

„Виждам предимствата на обезщетението, но ако те просто бяха предмет на задължително известие за участие, те биха могли да пренебрегнат съветите на ASD и следователно няма да имат нужда от обезщетението.“

Тя засегна и изискването да уведоми правителството за инцидент в рамките на 12 часа. Въпреки че Фалк приема, че може да не се знае в рамките на 12 часа, че е възникнал инцидент, тя предложи „поетапен подход“ за уведомяване.

„Незабавното уведомяване не е прекалено обременително. След като разберете, че сте в средата на инцидент и подробностите също могат да последват в разумен период от време … Мисля, че поетапният процес, при който има незабавно уведомяване, има инцидент, не сме сигурни какво е това, ще се върнем, след като имаме яснота в рамките на период от 21 дни “, размишлява тя.

Казус за известие за плащане на рансъмуер

Миналият месец федералната опозиция внесе в парламента законопроект, който, ако бъде приет, ще изисква от организациите да информират ACSC, преди да бъде извършено плащане към престъпна организация в отговор на атака на рансъмуер.

The Законопроект за плащания с Ransomware 2021 беше въведена в Камарата на представителите от Помощник-министъра за киберсигурност на Shadow Тим Уотс, който по това време се възползва от възможността да заяви, че сегашната позиция на правителството да казва на бизнеса да се защитава, като “заключва вратите си за кибер-престъпни банди”, не е ” достатъчно добър”.

Експертът по киберсигурност и бивш шеф на CISA на САЩ Крис Кребс се съгласи с Уотс.

Той каза пред PJCIS, че би било полезно да се принудят доставчиците на критична инфраструктура да разкриват инциденти с киберсигурност, включително рансъмуер.

“Задължително докладване за всяка жертва на рансъмуер, преди да извърши плащане”, каза той пред комисията. „По-специално за рансъмуера не знаем колко голям е този проблем, всъщност може би единствените хора, които знаят колко голям е, са самите престъпници. И те очевидно не споделят това с нас.

“Трябва да стигнем до знаменателя на атаките на изкупватели и най-лесният начин да направим това е да изискаме жертвите на рансъмуер да направят уведомление до правителството. Това все още не е в определението дали плащането на самия откуп е незаконно, мисля, че това е отделен разговор , но само минимум, ако ще се ангажирате с транзакцията, с групата за изкупване, която трябва да бъде уведомена. “

Кребс каза, че това е така, за да могат властите да разберат обхвата на проблема и също така да съберат данните за плащането.

“Искаме също така да гарантираме, че информацията, по-специално портфейлът, към който отива плащането на рансъмуера, ще бъде проследявана от служителите на правоохранителните органи за разузнаване, за да освети икономиката”, обясни той.

Миналият месец Министерството на правосъдието на САЩ (DoJ) разкри, че е успяло да възстанови част от откупа, платен от Colonial Pipeline на киберпрестъпниците зад рансъмуера DarkSide през май.

DoJ и ФБР конфискуваха 63,7 биткойна – оценени на 2,3 милиона долара по това време – от 75 биткойни, които изпълнителният директор на Colonial Pipeline призна, че е платил. Въпреки че плащат откупа, предадените инструменти за криптиране не работят, нито помагат на усилията на компанията да възстанови своите системи.

Чирак искрящи да бъдат третирани като служител на ASIO

Изпълняващият длъжността национален секретар на Австралийския съюз за търговия с електрически продукти Майкъл Райт заяви пред комисията по време на показанията си, че в законопроекта, както е в момента разработен, ще се видят чираци-електротехници, придържащи се към същите стандарти за сигурност, каквито са служителите на ASIO.

“Ние се ангажирахме с Министерството на вътрешните работи около правилата, които бяха изготвени … отделът не е запознат с нашата индустрия, нито бихте разумно очаквали да бъде. Въпросът, който имаме, е, че те изискват Проектът на правила, който те са проектирали, казва, че всеки, който има достъп, осигурява достъп до активи, следователно ще трябва да премине през процеса на Auscheck “, каза Райт.

„Това може или не може да има смисъл в други индустрии, но в индустрия, където активът означава енергиен полюс и вие се нуждаете от разрешение за достъп, за да работите върху това, което означава, че цялата работна сила … или работници в тази индустрия биха били необходими да преминат през този Auscheck, този фон на ASIO … наистина е важно да се вмъкнат в личния им живот. “

Сенатор Джеймс Патерсън заяви, че смята за неволно последствие за чирак електротехник да бъде обект на проверка на федералното правителство ASIO, наричайки идеята “абсурдна”.

„Това е процес, който може да отнеме между шест месеца и една година и изследва всички семейни и лични връзки, които човек може да има, неговите международни пътувания, предишната му работа – предлагате ли сериозно, че чираците-електротехници ще трябва да получат PV [positive vetting] разрешение за сигурност да работи? “, попита Патерсън.

“Поставихме тези опасения и не получаваме нищо обратно”, каза Райт в отговор.

ОЩЕ ОТ ЗАПИТВАНЕТО

Делото на Крис Кребс за включване на изборните системи като критична инфраструктура

Експертът по киберсигурност заяви пред австралийски парламентарен комитет, че има елементи от функцията за администриране на избори, които “абсолютно” трябва да се считат за критична инфраструктура.

Доставчиците на логистика и комунални услуги се съгласяват да помагат от ASD в случай на кибер инцидент

След като беше ударен два пъти от рансъмуер миналата година, Toll заяви, че приветства инсталирането на софтуер от австралийското правителство за помощ при осуетяване на кибер престъпниците, признавайки, че вече е пуснал ASD в своите системи. Qantas, AGL и Асоциацията за водни услуги в Австралия също са доволни от задаващия се мандат, при условие че се прави пропорционално.

Техническите гиганти казват, че правителствената кибер помощ просто би създала повече проблеми

Google, Microsoft, AWS и Atlassian вярват, че са в най-добра позиция да реагират на кибер инциденти и че инсталирането на софтуер от австралийското правителство само би увеличило риска в съответните им платформи и системи.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com