Die australische Regierung arbeitet an Plänen zur Überarbeitung der Cybersicherheitsgesetze und -vorschriften, nachdem das Land von einer Reihe schwerwiegender Datenschutzverletzungen erschüttert wurde.

Regierungsbeamte haben kürzlich ein sogenanntes Konsultationspapier veröffentlicht, in dem konkrete Vorschläge dargelegt und der Privatsektor um Beiträge zu einer proklamierten Strategie gebeten wurden, um das Land bis 2030 als weltweit führend in der Cybersicherheit zu positionieren.

Neben der Schließung von Lücken in den bestehenden Gesetzen zur Cyberkriminalität hoffen die australischen Gesetzgeber, den Security of Critical Infrastructure (SOCI) Act 2018 des Landes zu ändern, um einen größeren Schwerpunkt auf Bedrohungsprävention, Informationsaustausch und Reaktion auf Cybervorfälle zu legen.

Schwachstellen in Australiens Fähigkeiten zur Reaktion auf Cyber-Vorfälle wurden bei dem Cyber-Angriff auf den Telekommunikationsanbieter Optus im September 2022 offengelegt, dem im Oktober ein Ransomware-basierter Angriff folgte Angriff auf Krankenkasse Medibank.

Millionen sensibler Aufzeichnungen, darunter biometrische Daten in Führerscheinen und Passfotos, wurden danach offengelegt Angreifer haben eine Optus-Datenbank gecrawlt die Verbraucherdatensätze enthalten; Die Verstoß gegen die Medibank Millionen von Patientenakten wurden offengelegt.

„Beide Verstöße waren auf grundlegende Fehler und mangelnde Cyber-Hygiene zurückzuführen und daher vermeidbar“, sagt Richard Sorosina, Chief Technical Security Officer bei Qualys Australien und Neuseeland.

Die Cyber-Resilienz Australiens wurde im November 2023 auf die Probe gestellt, als ein landesweiter Ausfall das Festnetz und den Mobilfunk von Optus lahmlegte Kunden ohne Internetzugang. Der Ausfall wurde auf ein Problem mit der Aktualisierung der Routing-Tabelle des Border Gateway Protocol (BGP) zurückgeführt.

Dann kam es Tage später zu einem massiven Cyberangriff auf die Schifffahrtsbranche, der dazu führte Längere Störungen in vier australischen Häfen.

Reform der Cyber-Strategie

Die Cyberangriffe auf Optus, Medibank und die Häfen des Landes waren äußerst öffentliche Vorfälle, die Bürger und Unternehmen betrafen, wodurch Cybersicherheit einen höheren Stellenwert auf der politischen Agenda des Landes einnahm. Als Reaktion darauf überarbeitete die australische Regierung ihre Cybersicherheitsstrategie und startete den Konsultationsprozess zu Gesetzes- und Regulierungsreformen.

Clare O'Neil, Australiens Ministerin für Cybersicherheit, sagte in einer Erklärung dass die Regierung entschlossen sei, mit dem privaten Sektor zusammenzuarbeiten, um eine „neue Ära der öffentlich-privaten Partnerschaft zur Verbesserung der Cybersicherheit und Widerstandsfähigkeit Australiens“ einzuleiten.

Australiens neue vorgeschlagene Cybersicherheitsgesetzgebung deckt ein breites Spektrum an Maßnahmen ab, darunter die Vorgabe sicherer Standards für Geräte im Internet der Dinge (IoT), die Einführung einer Ransomware-Melderegel, die Schaffung einer Verpflichtung zur „beschränkten Nutzung“ für den Informationsaustausch über Vorfälle und die Einführung einer Nationales Cyber ​​Incident Review Board.

Ebenfalls auf der Tagesordnung: Reformen des Security of Critical Infrastructure Act 2018, die darauf abzielen, durch jüngste Verstöße aufgedeckte Cybersicherheitsdefizite zu beheben.

Zu diesen Überarbeitungen gehören die Bereitstellung präskriptiverer Leitlinien für kritische Branchen wie Versorgungsunternehmen und Telekommunikation, die Vereinfachung des Informationsaustauschs, die Bereitstellung von Richtlinien für Risikomanagementprogramme und die Konsolidierung der Sicherheitsanforderungen für den Telekommunikationssektor gemäß dem SOCI-Gesetz für kritische Infrastrukturen.

Casey Ellis, Gründer, Vorsitzender und Chief Strategy Officer von Bugcrowd, sagt, dass die australische Regierung die richtigen Schritte unternimmt. „Das Konsultationspapier zur [Cyber-Sicherheitsstrategie] befasst sich mit der IoT-Sicherheit, der Meldung von Ransomware, der Weitergabe von Vorfällen sowie der Verwaltung, Berichterstattung und Rechenschaftspflicht kritischer Infrastrukturen, die allesamt sicherlich Schwachstellen in der australischen Politik sind“, sagt Ellis.

Großes Land, große Herausforderungen im Bereich Cybersicherheit

Die schiere Ausdehnung Australiens macht es schwierig, kritische Infrastrukturen zu schützen, insbesondere für strategische Industrien wie den Bergbau, der weit verstreut ist und Standorte an abgelegenen Standorten hat.

Unterdessen verzichten Bergbau-, Schifffahrts- und andere Versorgungsunternehmen auf veraltete Technologien und setzen auf internetbasierte und IoT-Technologien, um ihre Infrastruktur effizienter zu verwalten und zu überwachen. Durch die zunehmende digitale Transformation sind veraltete Geräte jedoch häufig Cyber-Bedrohungen ausgesetzt.

„Um sicherzustellen, dass Angriffe wie der auf australische Häfen isoliert bleiben und nicht zu einem häufigen Vorkommnis werden, prüft die Regierung zu Recht, wie sie eine Richtlinie für kritische nationale Infrastruktur gesetzlich festlegen kann, und blickt auf andere Länder, um Lehren daraus zu ziehen, wie sie die größeren Angriffsflächen schützen können aus der IT/OT-Konvergenz heraus“, sagt Shane Read, CISO bei Goldilock, einem Startup für physische Cybersicherheit.

Australien fehlt jedoch sowohl die Größe als auch die Bevölkerung, um einen Alleingang zu schaffen – daher ist es nach Ansicht unabhängiger Experten sinnvoll, wo immer möglich auf bekannte, globale Standards zu verweisen.

„Australien hat sich bei der Cybersicherheitspolitik von Großbritannien, den USA und der EU beraten lassen“, bemerkt Sorosina von Qualys.

Wie viele andere Länder kämpft auch Australien darum, die Lücke bei den Fachkräften im Bereich Cybersicherheit zu schließen.

Phillip Ivancic, APAC-Lösungsleiter bei Synopsys Software Integrity Group, sagt, dass es in Australien aufgrund der im Verhältnis zur Größe der Wirtschaft geringen Bevölkerungszahl einen „großen Mangel an qualifizierten Ingenieuren und Cybersicherheitsexperten“ gebe.

„Deshalb sollte der Schritt der Regierung, strengere Vorgaben zu machen und echte, auf Standards basierende Leitlinien bereitzustellen sowie Veränderungen durch Mandate zu erzwingen, begrüßt werden“, sagt Ivancic. „Wir haben einfach nicht die Größe, um alleine voranzukommen, und die Vorgabe internationaler Standards, die bereits weit verbreitet sind, ist der richtige Ansatz.“

Laut Ivancic fehlen den politischen Vorschlägen der Regierung Schlüsselelemente wie Kontrollen rund um die Software-Lieferketten, etwa Software-Stücklisten, in denen die Komponenten aufgeführt sind, aus denen Anwendungen bestehen. Das sei eine „eklatante Lücke“, sagt er.

Große Investitionen in die Cybersicherheit

Der Weg zu einer cybersicheren Nation liegt nicht allein in der Verantwortung der Regierung. Der Privatsektor in Australien ist sich seines eigenen Interesses an der Verbesserung der Cybersicherheitspraktiken bewusst und investiert daher enorm in die Verbesserung der Informationssicherheitspraktiken.

Australische Organisationen werden im Jahr 7.3 mehr als 2024 Milliarden AU$ für Produkte und Dienstleistungen im Bereich Informationssicherheit und Risikomanagement ausgeben, ein Anstieg von 11.5 % gegenüber 2023. laut Gartner. Die Cloud-Sicherheit wird den größten Anstieg verzeichnen und auf 248 Mio. A$ steigen (plus 26.9 % im Vergleich zum Vorjahr).

Der Anstieg der Ausgaben sei auf eine Kombination aus aufsehenerregenden Cyberangriffen und erhöhten regulatorischen Verpflichtungen zurückzuführen, schrieb Gartner.

Ellis von BugCrowd glaubt, dass Australiens Bemühungen, ein führender Anbieter im Bereich Cybersicherheit zu werden, erreichbar sind. „Australien war schon immer eine Nation von Innovatoren und Regelbrechern, und ich glaube, dass das Ziel, weltweit führend in der Cybersicherheit zu werden, zwar ehrgeizig, aber erreichbar ist.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks