Avustralya Menkul Kıymetler ve Yatırımlar Komisyonu (ASIC), yakın zamanda gerçekleşen bir olay müdahalesi sırasında kendisini dışlanmış halde bulduktan sonra, aktif siber olaylarla ilgili istihbarattan sorumlu kurumların yakın çevresinin bir parçası olmak için harekete geçti.
Mali gözlemci, Avustralya Sinyaller Müdürlüğü ile “ikili görüşmeler” yaptığını ve “üst düzey bilgi paylaşımı düzenlemesi” yönündeki iddiasını ilerletmek için İçişleri ile temasa geçtiğini söyledi.
ASIC, düzenlediği bir kuruluşu veya “finansal hizmetler ve piyasa sektörlerindeki önemli bir hizmet sağlayıcıyı” ilgilendiren olaylardan haberdar olmak istediğini söyledi.
Bu, ASIC’in bilgiye erişim eksikliğini ortaya çıkaran, denetlenen bir kuruluşun üçüncü taraf bir hizmet sağlayıcısını kullanmasını içeren bir olay müdahalesiydi.
Gözlemci parlamentoya sunduğu bir sunumda, “Etkilenen kuruluşun (ve satıcının kimliğinin paylaşıldığı devlet kurumlarının), acil bir durum olsa bile, etkilenen satıcının adını gönüllü olarak ASIC ile paylaşmasına izin verilmedi” dedi. [pdf]
“O zamanlar ASIC’in, üçüncü taraf hizmet sağlayıcının Avustralya’nın finansal hizmetler sektörü için sistemik bir risk oluşturabileceğine dair önemli endişeleri vardı.”
Risk gerçekleşmedi ancak ASIC, olayın “ASIC tarafından uygun sonuç yönetimini mümkün kılan bilgi paylaşımını destekleyen mevcut mekanizmalardaki eksiklikleri vurguladığını” söyledi.
Komisyon, hükümetin son siber güvenlik stratejisinde yer alan, tehdit istihbaratının paylaşılmasını teşvik eden ancak alıcıların istihbaratı paylaşana karşı kullanma yeteneğini sınırlayan bir mekanizma oluşturmaya yönelik bir öneriyi destekledi.
“Bu yükümlülük, ASIC’in bilgileri herhangi bir soruşturma veya yaptırım eyleminin parçası olarak kullanmasını engelleyecektir” dedi.
“Önemlisi, bu bilgilere erişim istememizin nedeni yaptırım eylemi değil.
“Niyetimiz, bir siber olayın Avustralya’nın finansal sistemi üzerindeki daha geniş etkilerini yönetmek için bu istihbaratı elde etmek.
“Siber olayların tüketicilere ve daha geniş anlamda finansal sisteme vereceği zararı en aza indirmeyi amaçlayan proaktif müdahaleyi kolaylaştıran etkili ve zamanında bir bilgi paylaşım mekanizmasının geliştirilmesini teşvik ediyoruz.”