オーストラリア政府は、国を震撼させた一連の有害な大規模データ侵害を受けて、サイバーセキュリティ法と規制を見直す計画を立てている。
政府当局者らは最近、2030年までに国家をサイバーセキュリティの世界リーダーの地位に置くための宣言された戦略において、具体的な提案を概説し、民間部門からの意見を求める協議書と呼ばれるものを発表した。
オーストラリアの議員らは、既存のサイバー犯罪法のギャップに対処するだけでなく、2018年重要インフラセキュリティ法(SOCI)法を改正して、脅威の防止、情報共有、サイバーインシデント対応に重点を置くことを望んでいる。
オーストラリアのサイバーインシデント対応能力の弱点は、2022年XNUMX月に通信プロバイダーのオプタスに対するサイバー攻撃で露呈し、その後XNUMX月にはランサムウェアベースの攻撃が続いた。 医療保険会社メディバンクへの攻撃.
運転免許証やパスポートの写真に含まれる生体認証データを含む数百万件の機密記録が暴露されました。 攻撃者は Optus データベースをスクレイピングしました 消費者記録を含む。の メディバンク侵害 何百万もの患者の健康記録が暴露されました。
「どちらの侵害も基本的なエラーと不十分なサイバー衛生によって発生したため、回避可能でした」と、Qualys オーストラリアおよびニュージーランドの最高技術セキュリティ責任者であるリチャード・ソロシナ氏は述べています。
オーストラリアのサイバー レジリエンスは、2023 年 XNUMX 月に全国的な障害によりオプタスの固定回線と携帯電話が停止され、痛ましい厳しい調査にさらされました。 インターネットにアクセスできないお客様。この障害は、ボーダー ゲートウェイ プロトコル (BGP) ルーティング テーブルの更新の問題が原因であると考えられています。
そして数日後、海運業界に対して大規模なサイバー攻撃が発生し、 オーストラリアの4つの港で長時間にわたる混乱.
サイバー戦略改革
オプタス、メディバンク、および国の港に対するサイバー攻撃は、国民や企業に影響を与える非常に公的な事件であり、そのためサイバーセキュリティが国の政治的議題の優先順位を高めた。これに応じて、オーストラリア政府はサイバーセキュリティ戦略を改訂し、 相談プロセス 法律や規制の改革について。
オーストラリアのサイバーセキュリティ大臣クレア・オニール氏は、 声明の中で述べている 政府は「オーストラリアのサイバーセキュリティと強靱性を強化するための官民パートナーシップの新時代」を導くために民間部門と協力することに尽力していると述べた。
オーストラリアの新たに提案されたサイバーセキュリティ法案は、モノのインターネット (IoT) デバイスに対するセキュア・バイ・デザイン標準の義務化、ランサムウェア報告ルールの確立、インシデント情報共有に対する「限定的使用」義務の創設、および国家サイバーインシデント審査委員会。
また、最近の侵害によって明らかになったサイバーセキュリティの欠陥に対処することを目的とした、2018 年重要インフラセキュリティ法の改正も議題となっています。
これらの改訂には、公益事業や電気通信などの重要な業界に対するより規範的なガイダンスの提供、情報共有の簡素化、リスク管理プログラムの指令の提供、重要インフラストラクチャーに対する SOCI 法に基づく電気通信部門のセキュリティ要件の統合などが含まれます。
Bugcrowd の創設者、会長、最高戦略責任者のケーシー エリス氏は、オーストラリア政府は正しい動きをしていると述べています。 「[サイバーセキュリティ戦略]の諮問文書では、IoTセキュリティ、ランサムウェア報告、インシデント共有、重要インフラ管理、報告、説明責任が取り上げられていますが、これらはすべてオーストラリアの政策において確実に軟化している分野です」とエリス氏は言う。
大きな国には大きなサイバーセキュリティの課題がある
オーストラリアは広大な国土を誇るため、特に遠隔地に拠点が分散している鉱山などの戦略的産業にとって、重要なインフラを保護することが困難になっています。
一方、鉱業、海事、その他の公益事業会社は、インフラストラクチャをより効率的に管理および監視するために、レガシー テクノロジーを廃止し、インターネット接続および IoT テクノロジーを採用しています。しかし、デジタル変革の導入により、レガシー機器がサイバー脅威にさらされることがよくあります。
「オーストラリアの港湾への攻撃のような攻撃が頻繁に起こるのではなく、孤立した状態に留まるようにするため、政府は国家重要インフラ政策を法制化する方法を適切に検討しており、増大する攻撃対象領域を保護する方法について他国に教訓を学んでもらうよう努めている」 IT/OT の融合から外れています」と、物理サイバーセキュリティの新興企業である Goldilock の CISO である Shane Read 氏は言います。
しかし、オーストラリアは単独でやっていくには規模も人口も不足しているため、可能な限り既知の世界標準を参照するのが理にかなっていると独立専門家は述べています。
「オーストラリアはサイバーセキュリティ政策に関して、英国/米国/EUに指針を求めてきた」とクアリスのソロシナ氏は指摘する。
他の多くの国と同様、オーストラリアもサイバーセキュリティのスキルギャップを埋めるのに苦労しています。
シノプシス ソフトウェア インテグリティ グループのアジア太平洋担当ソリューション責任者、フィリップ・イヴァンシック氏は、オーストラリアでは経済規模に比べて人口が少ないため、「熟練したエンジニアとサイバーセキュリティの専門家が大幅に不足している」と述べています。
「だからこそ、より規範的で真の基準に基づいたガイダンスを提供し、義務を通じて変化を強制しようとする政府の動きは歓迎されるべきだ」とイヴァンチッチ氏は言う。 「私たちには独自に取り組む規模がまったくありません。すでに広く使用されている国際標準を義務化することが正しいアプローチです。」
Ivancic氏によると、政府の政策提案には、アプリケーションを構成するコンポーネントをリストしたソフトウェア部品表など、ソフトウェアサプライチェーン周りの管理など重要な要素が欠けているという。それは「明らかなギャップ」だと彼は言う。
大規模なサイバーセキュリティ投資
サイバー安全国家への道は政府だけの責任ではありません。オーストラリアの民間部門も、サイバーセキュリティ慣行の改善に自らの利益を認識し、情報セキュリティ慣行の改善に巨額の投資を行っています。
オーストラリアの組織は、7.3 年に情報セキュリティおよびリスク管理の製品とサービスに 2024 億オーストラリアドル以上を支出し、11.5 年から 2023% 増加すると予想されています。 ガートナーによると。クラウドセキュリティが最も大きく上昇し、248億26.9万豪ドル(前年比XNUMX%増)に達すると予想されます。
支出の増加は、注目を集めているサイバー攻撃と規制上の義務の増大の組み合わせによって引き起こされている、とガートナーは書いている。
BugCrowd のエリス氏は、オーストラリアがサイバーセキュリティのリーダーになるための努力は達成可能であると信じています。 「オーストラリアは常に革新者とルールブレイカーの国であり、サイバーセキュリティの世界リーダーになるという目標は野心的ではありますが、達成可能なものであると私は信じています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks
