在一系列震驚全國的破壞性的、引人注目的資料外洩事件發生後,澳洲政府正在製定計劃修改網路安全法律和法規。
政府官員最近發布了一份所謂的諮詢文件,其中概述了具體建議,並徵求私營部門的意見,以製定一項到 2030 年將國家定位為網路安全世界領導者的策略。
除了彌補現有網路犯罪法律的空白之外,澳洲立法者還希望修訂該國的《2018 年關鍵基礎設施安全 (SOCI) 法案》,以更加重視威脅預防、資訊共享和網路事件回應。
2022 年 XNUMX 月針對電信供應商 Optus 的網路攻擊暴露了澳洲網路事件回應能力的弱點,隨後 XNUMX 月又發生了基於勒索軟體的攻擊 對健康保險公司 Medibank 的攻擊.
數以百萬計的敏感記錄,包括駕照和護照照片中的生物識別數據被曝光 攻擊者竊取了 Optus 資料庫 包含消費者記錄;這 Medibank 違規 暴露了數百萬患者的健康記錄。
Qualys 澳洲和紐西蘭首席技術安全官理查德·索羅西納 (Richard Sorosina) 表示:“這兩起洩漏事件都是由於基本錯誤和不良的網路衛生造成的,因此它們是可以避免的。”
2023 年 XNUMX 月,澳洲的網路彈性受到了痛苦的審查,當時全國範圍內的服務中斷導致 Optus 的固定電話和行動電話癱瘓 無法上網的客戶。此次中斷歸咎於邊界網關協定 (BGP) 路由表更新問題。
幾天后,航運業遭遇大規模網路攻擊,導致 澳洲四個港口長期中斷.
網路策略改革
針對 Optus、Medibank 和國家港口的網路攻擊是影響公民和企業的高度公開事件,這將網路安全推上了國家政治議程的更高位置。對此,澳洲政府修訂了網路安全策略並推出 諮詢過程 關於立法和監管改革。
澳洲網路安全部長克萊爾‧奧尼爾 (Clare O'Neil) 在一份聲明中說: 政府致力於與私營部門合作,開創「公私夥伴關係的新時代,以增強澳洲的網路安全和復原力」。
澳洲新提議的網路安全立法涵蓋了廣泛的措施,包括強制物聯網(IoT)設備採用安全設計標準、建立勒索軟體報告規則、為事件資訊共享制定「有限使用」義務,以及建立國家網路事件審查委員會。
議程上還有《2018 年關鍵基礎設施安全法》的改革,旨在解決最近的違規事件暴露的網路安全缺陷。
這些修訂包括為公用事業和電信等關鍵行業提供更具規範性的指導、簡化資訊共享、為風險管理計劃提供指令,以及根據《SOCI 法案》整合關鍵基礎設施對電信部門的安全要求。
Bugcrowd 創辦人、董事長兼首席策略長凱西·艾利斯 (Casey Ellis) 表示,澳洲政府正在採取正確的舉措。 「[網路安全策略]諮詢文件涉及物聯網安全、勒索軟體報告、事件共享以及關鍵基礎設施管理、報告和問責制,這些無疑都是澳洲政策的軟弱領域,」艾利斯說。
大國,巨大的網路安全挑戰
澳洲幅員遼闊,因此很難保護關鍵基礎設施,尤其是採礦業等策略性產業,這些產業高度分散且地點偏遠。
同時,採礦、海事和其他公用事業正在放棄傳統技術,採用網路連接和物聯網技術,以更有效地管理和監控其基礎設施。但這種數位轉型的擁抱往往使傳統設備面臨網路威脅。
「為了確保像澳洲港口這樣的攻擊保持孤立而不是經常發生,政府正在正確地研究如何立法一項關鍵的國家基礎設施政策,並尋求其他國家學習如何保護不斷增加的攻擊面的經驗教訓。 「IT /OT 融合”,實體網路安全新創公司Goldilock 的首席資訊安全長Shane Read 說。
然而,獨立專家表示,澳洲缺乏單獨行動的規模和人口,因此盡可能參考已知的全球標準是有意義的。
「澳洲在網路安全政策方面向英國/美國/歐盟尋求指導,」Qualys 的索羅西納指出。
與許多其他國家一樣,澳洲正在努力縮小網路安全技能差距。
Synopsys Software Integrity Group 亞太區解決方案主管 Phillip Ivancic 表示,由於相對於經濟規模而言人口較少,澳洲「嚴重缺乏熟練的工程師和網路安全專家」。
伊凡西奇表示:“這就是為什麼政府採取更具規範性、提供真正基於標準的指導以及通過授權強制變革的舉措應該受到歡迎。” “我們根本沒有規模來獨自走出去,強制採用已經廣泛使用的國際標準才是正確的做法。”
伊凡西奇表示,政府的政策提案缺乏關鍵要素,例如對軟體供應鏈的控制,例如列出構成應用程式的元件的軟體物料清單。他說,這是一個「明顯的差距」。
主要網路安全投資
成為網路安全國家的道路不僅僅是政府的責任。澳洲私營部門認識到改善網路安全實踐的自身利益,因此也在改善資訊安全實踐方面進行了大量投資。
7.3年澳洲組織將在資訊安全和風險管理產品和服務上花費超過2024億澳元,比11.5年成長2023%, 根據Gartner的說法。雲端安全增幅最大,達 248 億澳元(年增 26.9%)。
Gartner 寫道,支出的增加是由引人注目的網路攻擊和監管義務增加共同推動的。
BugCrowd 的艾利斯相信澳洲成為網路安全領導者的努力是可以實現的。 “澳洲一直是一個創新者和打破規則的國家,我確實相信成為網路安全世界領導者的目標雖然雄心勃勃,但卻是可以實現的。”
