ממשלת אוסטרליה מוציאה תוכניות לחידוש חוקי ותקנות אבטחת הסייבר בעקבות סדרה של הפרות מידע מזיקות בפרופיל גבוה שהרעידו את המדינה.
פקידי ממשלה פרסמו לאחרונה את מה שהיא כינתה נייר התייעצות המתאר הצעות ספציפיות וביקשה מידע מהמגזר הפרטי באסטרטגיה שהוכרזה למצב את האומה כמובילה עולמית באבטחת סייבר עד 2030.
בנוסף לטיפול בפערים בחוקי פשעי סייבר קיימים, המחוקקים האוסטרלים מקווים לתקן את חוק אבטחת התשתיות הקריטיות (SOCI) של המדינה משנת 2018 כדי לשים דגש גדול יותר על מניעת איומים, שיתוף מידע ותגובה לאירועי סייבר.
חולשות ביכולות התגובה לאירועי סייבר של אוסטרליה נחשפו במתקפת הסייבר בספטמבר 2022 על ספקית הטלקומוניקציה Optus, ואחריה באוקטובר עלתה תוכנת כופר מבוססת מתקפה על חברת ביטוח הבריאות מדיבנק.
מיליוני רשומות רגישות, כולל נתונים ביומטריים ברישיונות נהיגה ותמונות פספורט, נחשפו לאחר התוקפים גירדו מסד נתונים של Optus המכיל רישומי צרכנים; ה הפרת מדיבנק חשפו מיליוני רשומות בריאות של חולים.
"שתי ההפרות הגיעו דרך שגיאות בסיסיות והיגיינת סייבר לקויה, כך שניתן היה להימנע מהן", אומר ריצ'רד סורוסינה, קצין אבטחה טכני ראשי של Qualys אוסטרליה וניו זילנד.
חוסן הסייבר של אוסטרליה עבר בדיקה כואבת בנובמבר 2023 כאשר הפסקה ארצית עזבה את הקו הנייד והנייד של Optus לקוחות ללא גישה לאינטרנט. ההפסקה הואשמה בבעיה בעדכון טבלת הניתוב של Border Gateway Protocol (BGP).
ואז הגיעה מתקפת סייבר מאסיבית ימים לאחר מכן על תעשיית הספנות שהובילה לכך שיבושים ממושכים בארבעה נמלים באוסטרליה.
רפורמה באסטרטגיית הסייבר
מתקפות הסייבר על Optus, Medibank והנמלים של המדינה היו אירועים פומביים מאוד שהשפיעו על אזרחים ועסקים, מה שדחף את אבטחת הסייבר למעלה על סדר היום הפוליטי של המדינה. בתגובה, שינתה ממשלת אוסטרליה את אסטרטגיית אבטחת הסייבר שלה והשיקה תהליך הייעוץ על רפורמות חקיקה ורגולטוריות.
קלייר אוניל, השרה לאבטחת סייבר באוסטרליה, אמר בהצהרה שהממשלה הייתה מחויבת לעבוד עם המגזר הפרטי כדי לפתח "עידן חדש של שותפות ציבורית-פרטית כדי לשפר את אבטחת הסייבר והחוסן של אוסטרליה".
חקיקת אבטחת הסייבר החדשה המוצעת של אוסטרליה מכסה מגוון רחב של אמצעים, כולל מתן חובה לסטנדרטים מאובטחים לפי עיצוב עבור מכשירי האינטרנט של הדברים (IoT), הקמת כלל דיווח על תוכנות כופר, יצירת חובת "שימוש מוגבל" לשיתוף מידע על תקריות, והקמת חוק דיווח על תוכנות כופר. המועצה הלאומית לביקורת תקריות סייבר.
עוד על הפרק: רפורמות בחוק אבטחת תשתיות קריטיות משנת 2018, המיועדות לטפל בחסרונות אבטחת סייבר שנחשפו מהפרות האחרונות.
תיקונים אלה כוללים מתן הנחיות מחייבות יותר לתעשיות קריטיות כמו שירותים וטלקומוניקציה, פישוט שיתוף המידע, מתן הנחיות לתוכניות ניהול סיכונים ואיחוד דרישות אבטחה למגזר הטלקומוניקציה במסגרת חוק SOCI לתשתיות קריטיות.
קייסי אליס, מייסד, יו"ר ומנהל אסטרטגיה ראשי של Bugcrowd, אומר שממשלת אוסטרליה עושה את המהלכים הנכונים. "נייר הייעוץ [אסטרטגיית אבטחת הסייבר] מתייחס לאבטחת IoT, דיווח על תוכנות כופר, שיתוף תקריות וניהול תשתיות קריטיות, דיווח ואחריות, שכולם בהחלט תחומי רכות במדיניות האוסטרלית", אומר אליס.
מדינה גדולה, אתגרי אבטחת סייבר גדולים
המרחב העצום של אוסטרליה מקשה על הגנה על תשתיות קריטיות, במיוחד עבור תעשיות אסטרטגיות כמו כרייה, שהיא מאוד מפוזרת ועם אתרים במקומות מרוחקים.
בינתיים, כלי עזר לכרייה, ימיים ואחרים נוטשים טכנולוגיות מדור קודם ומאמצים טכנולוגיות מקושרות לאינטרנט ו-IoT כדי לנהל ולנטר את התשתית שלהם בצורה יעילה יותר. אבל החיבוק הזה של טרנספורמציה דיגיטלית השאיר לעתים קרובות את הציוד הישן חשוף לאיומי סייבר.
"כדי לוודא שהתקפות כמו זו על נמלים באוסטרליה יישארו מבודדות במקום אירוע שכיח, הממשלה בוחנת בצדק כיצד לחוקק מדיניות תשתית לאומית קריטית ומחפשת למדינות אחרות ללמוד לקחים כיצד להגן על משטחי תקיפה מוגברים. מתוך התכנסות IT/OT", אומר שיין Read, CISO ב-Goldilock, סטארט-אפ לאבטחת סייבר פיזית.
עם זאת, לאוסטרליה חסרה גם קנה מידה וגם אוכלוסיה לעשות זאת לבד - כך שההתייחסות לסטנדרטים גלובליים ידועים בכל מקום אפשרי הגיוני, לפי מומחים בלתי תלויים.
"אוסטרליה פנתה לבריטניה/ארה"ב/איחוד האירופי כדי לקבל הנחיות בכל הנוגע למדיניות אבטחת סייבר", מציינת סורוסינה של Qualys.
כמו מדינות רבות אחרות, אוסטרליה נאבקת לגשר על פער מיומנויות אבטחת הסייבר.
פיליפ איבנצ'יק, ראש פתרונות APAC ב-Synopsys Software Integrity Group, אומר שבגלל האוכלוסייה המצומצמת ביחס לגודל הכלכלה, קיים "מחסור עצום במהנדסים מיומנים ומומחי אבטחת סייבר" באוסטרליה.
"לכן יש לברך על המהלך של הממשלה להיות יותר מחייב ולספק הדרכה אמיתית מבוססת סטנדרטים, כמו גם לכפות שינוי באמצעות מנדטים", אומר איבנצ'יץ'. "פשוט אין לנו קנה מידה לצאת בעצמנו, ולחייב תקנים בינלאומיים שכבר נמצאים בשימוש נרחב זו הגישה הנכונה".
להצעות המדיניות של הממשלה חסרות מרכיבים מרכזיים כמו בקרות סביב שרשראות אספקת תוכנה, כמו הצעות חומרי תוכנה המפרטות את הרכיבים המרכיבים את היישומים, לדברי איבנצ'יק. זה "פער בולט", הוא אומר.
השקעות עיקריות בתחום אבטחת הסייבר
הדרך להפוך לאומה מאובטחת ברשת אינה באחריות ממשלתית בלבד. מתוך הכרה באינטרס האישי שלו בשיפור נוהלי אבטחת סייבר, המגזר הפרטי באוסטרליה גם משקיע השקעות ענק בשיפור נוהלי אבטחת מידע.
ארגונים אוסטרליים יוציאו יותר מ-7.3 מיליארד דולר אוסטרלי על מוצרים ושירותים לאבטחת מידע וניהול סיכונים בשנת 2024, עלייה של 11.5% מ-2023, לדברי גרטנר. אבטחת ענן תהנה מהעלייה הגדולה ביותר, שתגדל ל-248 מיליון דולר אוסטרלי (עלייה של 26.9% משנה לשנה).
הגידול בהוצאות מונע על ידי שילוב של התקפות סייבר בעלות פרופיל גבוה והתחייבויות רגולטוריות מוגברות, כתבה גרטנר.
אליס של BugCrowd מאמין שהמאמץ של אוסטרליה להפוך למוביל אבטחת סייבר הוא בר השגה. "אוסטרליה תמיד הייתה אומה של חדשנים ושוברי כללים, ואני מאמין שהמטרה להפוך למובילה עולמית באבטחת סייבר, למרות שאפתנית, היא מטרה ברת השגה."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks
