호주 정부는 국가를 뒤흔들었던 일련의 심각한 데이터 유출 사고로 인해 사이버 보안 법률 및 규정을 개정할 계획을 세우고 있습니다.
정부 관계자는 최근 2030년까지 사이버 보안 분야에서 국가를 세계적 리더로 자리매김하기 위한 선언된 전략에 대해 구체적인 제안을 설명하고 민간 부문의 의견을 요청하는 협의 문서를 발표했습니다.
호주 입법자들은 기존 사이버 범죄법의 격차를 해소할 뿐만 아니라 위협 방지, 정보 공유 및 사이버 사고 대응에 더 중점을 두도록 국가의 중요 인프라 보안(SOCI)법 2018을 개정하기를 희망합니다.
호주 사이버 사고 대응 역량의 약점은 2022년 XNUMX월 통신업체 Optus에 대한 사이버 공격에서 드러났고, XNUMX월에는 랜섬웨어 기반 공격이 이어졌습니다. 건강 보험 제공업체 Medibank에 대한 공격.
운전면허증과 여권 사진의 생체 데이터를 포함한 수백만 건의 민감한 기록이 노출되었습니다. 공격자들이 Optus 데이터베이스를 긁어냈습니다. 소비자 기록이 포함되어 있습니다. 그만큼 메디뱅크 위반 수백만 명의 환자 건강 기록이 노출되었습니다.
Qualys Australia 및 New Zealand의 최고 기술 보안 책임자인 Richard Sorosina는 "두 침해 모두 기본적인 오류와 열악한 사이버 위생으로 인해 발생했기 때문에 피할 수 있었습니다."라고 말했습니다.
호주의 사이버 탄력성은 2023년 XNUMX월 전국적인 정전으로 인해 Optus의 유선 및 모바일이 중단되면서 고통스러운 조사를 받았습니다. 인터넷 접속이 불가능한 고객. 이번 중단은 BGP(Border Gateway Protocol) 라우팅 테이블 업데이트 문제로 인해 발생했습니다.
그런 다음 며칠 후 해운 업계에 대규모 사이버 공격이 발생하여 다음과 같은 일이 발생했습니다. 호주 4개 항구에서 장기간의 중단.
사이버 전략 개혁
Optus, Medibank 및 국가 항구에 대한 사이버 공격은 시민과 기업에 영향을 미치는 매우 공개적인 사건이었으며, 이로 인해 국가의 정치적 의제에서 사이버 보안이 더 중요해졌습니다. 이에 대해 호주 정부는 사이버 보안 전략을 수정하고 상담 과정 입법 및 규제 개혁에 관한 것입니다.
호주 사이버보안부 장관 클레어 오닐(Clare O'Neil)은 성명에서 말했다 정부는 "호주의 사이버 보안과 회복력을 강화하기 위한 새로운 민관 파트너십 시대"를 열기 위해 민간 부문과 협력하기로 약속했습니다.
호주에서 새로 제안된 사이버 보안 법안은 사물 인터넷(IoT) 장치에 대한 보안 기반 설계 표준 의무화, 랜섬웨어 보고 규칙 설정, 사고 정보 공유에 대한 "제한된 사용" 의무 설정, 전국사이버사고심의위원회.
또한 최근 침해로 인해 노출된 사이버 보안 단점을 해결하기 위한 2018년 중요 인프라 보안법 개정도 의제에 포함되어 있습니다.
이러한 개정에는 유틸리티 및 통신과 같은 중요 산업에 대한 보다 규범적인 지침 제공, 정보 공유 단순화, 위험 관리 프로그램에 대한 지침 제공, 중요 인프라에 대한 SOCI법에 따른 통신 부문의 보안 요구 사항 통합이 포함됩니다.
Bugcrowd의 설립자이자 회장이자 최고 전략 책임자인 Casey Ellis는 호주 정부가 올바른 조치를 취하고 있다고 말했습니다. Ellis는 "[사이버 보안 전략] 컨설팅 문서에서는 확실히 호주 정책의 유연성 영역인 IoT 보안, 랜섬웨어 보고, 사고 공유, 중요 인프라 관리, 보고 및 책임에 대해 다루고 있습니다."라고 말했습니다.
큰 국가, 큰 사이버 보안 과제
호주의 광활한 영토로 인해 특히 광산과 같이 고도로 분산되어 있고 사이트가 원격 위치에 있는 전략적 산업의 경우 중요한 인프라를 보호하기가 어렵습니다.
한편, 광업, 해양 및 기타 유틸리티 분야에서는 인프라를 보다 효율적으로 관리하고 모니터링하기 위해 기존 기술을 버리고 인터넷 연결 및 IoT 기술을 수용하고 있습니다. 그러나 이러한 디지털 혁신의 수용으로 인해 레거시 장비가 사이버 위협에 노출되는 경우가 많습니다.
“호주 항구에 대한 공격과 같은 공격이 흔히 발생하는 대신 격리된 상태로 유지되도록 하기 위해 정부는 중요 국가 인프라 정책을 입법하는 방법을 올바르게 조사하고 증가된 공격 표면을 보호하는 방법에 대한 교훈을 얻기 위해 다른 국가를 찾고 있습니다. IT/OT 융합에서 벗어났습니다.”라고 물리적 사이버 보안 스타트업인 Goldilock의 CISO인 Shane Read는 말합니다.
그러나 호주는 단독으로 운영하기에는 규모와 인구가 모두 부족합니다. 따라서 독립적인 전문가에 따르면 가능한 한 알려진 글로벌 표준을 참조하는 것이 합리적이라고 합니다.
Qualys의 Sorosina는 “호주는 사이버 보안 정책과 관련하여 영국/미국/EU의 지침을 참고했습니다.”라고 말합니다.
다른 많은 국가와 마찬가지로 호주도 사이버 보안 기술 격차를 해소하기 위해 고군분투하고 있습니다.
Synopsys Software Integrity Group의 APAC 솔루션 책임자인 Phillip Ivancic은 경제 규모에 비해 인구가 적기 때문에 호주에는 "숙련된 엔지니어와 사이버 보안 전문가가 크게 부족"하다고 말합니다.
Ivancic은 “이것이 바로 정부가 보다 규범적이고 실제적인 표준 기반 지침을 제공하며 명령을 통해 변화를 강요하려는 움직임을 환영해야 하는 이유입니다.”라고 말합니다. "우리는 자체적으로 진출할 규모가 없으며 이미 널리 사용되고 있는 국제 표준을 의무화하는 것이 올바른 접근 방식입니다."
Ivancic에 따르면 정부의 정책 제안에는 애플리케이션을 구성하는 구성 요소를 나열하는 소프트웨어 BOM과 같은 소프트웨어 공급망에 대한 통제와 같은 핵심 요소가 부족합니다. 그것은 "눈에 띄는 격차"라고 그는 말합니다.
주요 사이버 보안 투자
사이버 보안 국가가 되는 길은 전적으로 정부의 책임이 아닙니다. 호주의 민간 부문 역시 사이버 보안 관행 개선에 대한 자신의 이익을 인식하고 정보 보안 관행 개선에 막대한 투자를 하고 있습니다.
호주 조직은 7.3년에 정보 보안 및 위험 관리 제품과 서비스에 2024억 호주 달러 이상을 지출할 예정이며, 이는 11.5년보다 2023% 증가한 수치입니다. 가트너에 따르면. 클라우드 보안은 248억 26.9만 호주 달러(전년 대비 XNUMX% 증가)로 가장 큰 증가세를 누릴 것입니다.
지출 증가는 세간의 이목을 끄는 사이버 공격과 규제 의무 증가로 인해 발생한다고 Gartner는 밝혔습니다.
BugCrowd의 Ellis는 사이버 보안 리더가 되려는 호주의 노력이 달성 가능하다고 믿습니다. "호주는 항상 혁신가이자 규칙 위반자의 국가였습니다. 저는 사이버 보안 분야에서 세계적 리더가 되겠다는 야심찬 목표가 달성 가능하다고 믿습니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyber-risk/australian-government-doubles-down-on-cybersecurity-in-wake-of-major-attacks
