دولت استرالیا در پی سلسله نقض‌های مخرب داده‌های پرمخاطب که کشور را تکان داده است، در حال تدوین برنامه‌هایی برای اصلاح قوانین و مقررات امنیت سایبری است.

مقامات دولتی اخیراً آنچه را که آن را یک مقاله مشاوره می نامید منتشر کردند که در آن پیشنهادهای خاص و درخواست از بخش خصوصی در استراتژی اعلام شده برای قرار دادن کشور به عنوان یک رهبر جهانی در امنیت سایبری تا سال 2030 ارائه شده است.

قانونگذاران استرالیایی امیدوارند علاوه بر رسیدگی به شکاف‌های موجود در قوانین جرایم سایبری، قانون امنیت زیرساخت‌های حیاتی (SOCI) 2018 کشور را اصلاح کنند تا تاکید بیشتری بر پیشگیری از تهدید، اشتراک‌گذاری اطلاعات و واکنش به حوادث سایبری داشته باشند.

نقاط ضعف در قابلیت‌های واکنش به حوادث سایبری استرالیا در حمله سایبری سپتامبر 2022 به ارائه‌دهنده مخابراتی Optus آشکار شد و پس از آن در اکتبر یک باج‌افزار مبتنی بر باج‌افزار انجام شد. حمله به مدیبانک ارائه دهنده بیمه سلامت.

میلیون‌ها پرونده حساس، از جمله داده‌های بیومتریک در گواهینامه‌های رانندگی و عکس‌های پاسپورت پس از آن فاش شدند مهاجمان پایگاه داده Optus را خراش دادند حاوی سوابق مصرف کننده؛ را تخلف مدیبانک میلیون ها پرونده سلامت بیمار را در معرض دید قرار داد.

ریچارد سوروسینا، مدیر ارشد امنیت فنی برای Qualys استرالیا و نیوزلند، می‌گوید: «هر دو نقض از طریق خطاهای اساسی و بهداشت ضعیف سایبری رخ داده است، بنابراین قابل اجتناب بودند.

انعطاف‌پذیری سایبری استرالیا در نوامبر 2023 تحت نظارت دردناکی قرار گرفت، زیرا یک قطعی در سراسر کشور باعث شد خطوط ثابت و تلفن همراه Optus رخ دهد. مشتریان بدون دسترسی به اینترنت. علت این قطعی مشکل به‌روزرسانی جدول مسیریابی پروتکل مرزی (BGP) بود.

سپس چند روز بعد یک حمله سایبری گسترده به صنعت کشتیرانی رخ داد که منجر به آن شد اختلالات طولانی مدت در چهار بندر استرالیا.

اصلاح استراتژی سایبری

حملات سایبری به Optus، Medibank و بنادر کشور، حوادث بسیار عمومی بود که شهروندان و مشاغل را تحت تأثیر قرار داد و امنیت سایبری را در دستور کار سیاسی کشور قرار داد. در پاسخ، دولت استرالیا استراتژی امنیت سایبری خود را اصلاح کرد و راه اندازی کرد فرآیند مشاوره در مورد اصلاحات قانونی و نظارتی

کلر اونیل، وزیر امنیت سایبری استرالیا، در بیانیه ای گفت دولت متعهد به همکاری با بخش خصوصی برای آغاز "عصر جدیدی از مشارکت عمومی و خصوصی برای افزایش امنیت سایبری و انعطاف پذیری استرالیا" است.

قانون جدید امنیت سایبری پیشنهادی استرالیا طیف گسترده‌ای از اقدامات را در بر می‌گیرد، از جمله الزامی کردن استانداردهای ایمن با طراحی برای دستگاه‌های اینترنت اشیا (IoT)، ایجاد قانون گزارش‌دهی باج‌افزار، ایجاد تعهد «استفاده محدود» برای اشتراک‌گذاری اطلاعات حادثه، و ایجاد یک قانون هیئت ملی بررسی حوادث سایبری

همچنین در دستور کار: اصلاحات در قانون امنیت زیرساخت های حیاتی 2018، که برای رسیدگی به کاستی های امنیت سایبری ناشی از نقض های اخیر طراحی شده است.

این بازنگری ها شامل ارائه راهنمایی های تجویزی بیشتر برای صنایع حیاتی مانند تاسیسات و مخابرات، ساده سازی اشتراک گذاری اطلاعات، ارائه دستورالعمل ها برای برنامه های مدیریت ریسک و تجمیع الزامات امنیتی برای بخش مخابرات تحت قانون SOCI برای زیرساخت های حیاتی است.

کیسی الیس، موسس، رئیس و مدیر ارشد استراتژی Bugcrowd، می‌گوید که دولت استرالیا حرکت‌های درستی انجام می‌دهد. الیس می‌گوید: «مقاله مشاوره [استراتژی امنیت سایبری] به امنیت اینترنت اشیا، گزارش‌های باج‌افزار، به اشتراک‌گذاری رویدادها، و مدیریت زیرساخت‌های حیاتی، گزارش‌دهی و مسئولیت‌پذیری می‌پردازد، که مطمئناً همگی حوزه‌های نرمی در سیاست استرالیا هستند.

کشور بزرگ، چالش های بزرگ امنیت سایبری

وسعت گسترده استرالیا، حفاظت از زیرساخت های حیاتی را دشوار می کند، به ویژه برای صنایع استراتژیک مانند معدن، که بسیار پراکنده و دارای سایت هایی در مکان های دور افتاده است.

در همین حال، شرکت‌های معدنی، دریایی و سایر شرکت‌های آب و برق، فناوری‌های قدیمی را کنار می‌گذارند و از فناوری‌های متصل به اینترنت و اینترنت اشیا برای مدیریت و نظارت مؤثرتر زیرساخت‌های خود استفاده می‌کنند. اما این استقبال از تحول دیجیتال اغلب تجهیزات میراثی را در معرض تهدیدات سایبری قرار داده است.

برای اطمینان از اینکه حملاتی مانند حمله به بنادر استرالیا به جای یک اتفاق معمول، ایزوله باقی می‌مانند، دولت به درستی به دنبال چگونگی وضع یک خط‌مشی زیرساخت ملی حیاتی است و به سایر کشورها می‌اندیشد تا درس‌هایی را در مورد نحوه محافظت از سطوح حمله افزایش یافته بیاموزند. خارج از همگرایی IT/OT،” Shane Read، CISO در Goldilock، یک استارت آپ فیزیکی امنیت سایبری می گوید.

با این حال، استرالیا هم مقیاس و هم جمعیتی ندارد که بتواند به تنهایی پیش برود - بنابراین به گفته کارشناسان مستقل، ارجاع به استانداردهای شناخته شده جهانی در هر کجا که ممکن است منطقی است.

سوروسینا از Qualys خاطرنشان می کند: «استرالیا برای راهنمایی در مورد سیاست امنیت سایبری به بریتانیا/ایالات متحده/ اتحادیه اروپا نگاه کرده است.

استرالیا مانند بسیاری از کشورها در تلاش است تا شکاف مهارت های امنیت سایبری را پر کند.

فیلیپ ایوانچیچ، رئیس راه‌حل‌های APAC در گروه یکپارچگی نرم‌افزار Synopsys، می‌گوید که به دلیل جمعیت کوچک نسبت به اندازه اقتصاد، «کمبود زیادی مهندسان ماهر و کارشناسان امنیت سایبری» در استرالیا وجود دارد.

ایوانچیچ می گوید: «به همین دلیل است که حرکت دولت برای تجویز بیشتر و ارائه رهنمودهای واقعی مبتنی بر استانداردها، و همچنین تحمیل تغییر از طریق دستورات، باید مورد استقبال قرار گیرد. ما به سادگی مقیاسی نداریم که به تنهایی به میدان برویم، و الزام استانداردهای بین المللی که در حال حاضر به طور گسترده مورد استفاده قرار می گیرند، رویکرد درستی است.

به گفته ایوانچیچ، پیشنهادات سیاستی دولت فاقد عناصر کلیدی مانند کنترل‌های پیرامون زنجیره‌های تامین نرم‌افزار، مانند صورت‌حساب‌های نرم‌افزاری است که اجزای سازنده برنامه‌ها را فهرست می‌کند. او می‌گوید که این یک شکاف آشکار است.

سرمایه گذاری های عمده امنیت سایبری

مسیر تبدیل شدن به یک کشور امن سایبری تنها یک مسئولیت دولتی نیست. بخش خصوصی در استرالیا با درک نفع شخصی خود در بهبود شیوه های امنیت سایبری، سرمایه گذاری هنگفتی را در بهبود شیوه های امنیت اطلاعات انجام می دهد.

سازمان های استرالیایی بیش از 7.3 میلیارد دلار استرالیا برای محصولات و خدمات امنیت اطلاعات و مدیریت ریسک در سال 2024 هزینه خواهند کرد که نسبت به سال 11.5 افزایش 2023 درصدی را نشان می دهد. به گفته گارتنر. امنیت ابری بیشترین افزایش را خواهد داشت و به 248 میلیون دلار استرالیا (افزایش 26.9 درصدی نسبت به سال قبل) خواهد رسید.

گارتنر نوشت، افزایش هزینه‌ها ناشی از ترکیبی از حملات سایبری با مشخصات بالا و افزایش تعهدات نظارتی است.

الیس از BugCrowd معتقد است تلاش استرالیا برای تبدیل شدن به یک رهبر امنیت سایبری قابل دستیابی است. استرالیا همیشه کشوری مبتکر و قانون شکن بوده است، و من معتقدم که هدف تبدیل شدن به یک رهبر جهانی در امنیت سایبری، در عین جاه طلبی، قابل دستیابی است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks