İçişleri’nden Peter Anstee’ye göre, şirketlerin şirketlere yönelik sayısız veri saklama yükümlülüklerine ilişkin hükümet incelemesi “olduğundan daha kolay görünüyor”; yasaların kapsamı ve muğlak ifadeleri çabaları zorlaştırıyor.
AISA Melbourne CyberCon’da konuşan, siber ve teknoloji güvenliği politikasından sorumlu birinci sekreter yardımcısı Anstee, görevin boyutunun yasal reform için herhangi bir zaman çizelgesini etkileyeceğini belirtti.
Veri saklama konusu (şirketlerin verileri ne kadar süre saklaması gerektiği ve neleri saklaması gerektiği) Optus veri ihlalinden sonra sorun haline geldi.
Geçen yılın federal siber güvenlik stratejisinde bir satır öğesi [pdf] şirketlerin verileri gerekenden daha uzun süre tutmasına neden olan çok sayıda ve potansiyel olarak çelişen yükümlülükleri gözden geçirme sözü verdi.
İçişleri ve Başsavcılık Bakanlığı öncü kurumlardır [pdf] bu incelemede.
Anstee, Optus olayının “olay sonrası temizlenmesinde”, özellikle saklama koşullarının açıklığa kavuşturulması için hükümetle temasa geçildiğini söyledi.
CyberCon’a “Buna bakarken aşamalı bir yaklaşımdan geçiyoruz” dedi.
“Öncelikle, şirketlere yüklediğimiz gerçek yükümlülüklerin neler olduğunu bulmaya çalışırken tüm Commonwealth yasa kitaplarını inceliyoruz.
“Bu kulağa olduğundan daha kolay geliyor. Şirketlere yönelik tüm veri saklama yükümlülüklerimizi anlamamız biraz zaman alıyor.
“Bu resmi elde ettiğimizde, bu yükümlülüklerin konsolidasyonu veya rasyonelleştirilmesinin bir mantığı olup olmadığını göreceğiz, çünkü bazen sağlık hizmetleri veya finansal hizmetler sektörü için kayıt tutma konusunda çok özel yükümlülükler vardır ve bu saklama süreleri çoğu zaman iyi bir nedene göre belirleniyor, bu nedenle bu rasyonelleştirmenin gerçekleşip gerçekleşmeyeceğine bakıyoruz.”
İnceleme uygulamasıyla ilgili zorluk esas olarak “kapsam”dır, ancak aynı zamanda açıklıktır.
“Bazen [the obligations are] çok iyi tanımlanmadı,” dedi Anstee.
“[The law] sadece verilere bağlı kalmanız gerektiğini söylüyor ancak bu verilerin ne olduğunu tanımlamıyor veya nasıl görünmesi gerektiğini tanımlamıyor, dolayısıyla netlik yok.
“Bu yasaların çoğu dijital depolamadan önce geldi, dolayısıyla muhtemelen yapmamız gereken bir iyileştirme parçası da var.”
Dijital dayanıklılık
Başka bir olay – CrowdStrike’ın Windows makinelerini bloke eden güncellemesi – hükümet tarafından “dijital tedarik zincirlerinin” yapısını daha iyi anlamak için bir etken olarak kullanılıyor.
Anstee, CrowdStrike olayının “rutin bir yükseltmenin neler yapabileceğini, hızlı bir şekilde küresel bir krize dönüşerek tedarik zincirlerimizin kırılganlığını ortaya çıkarabileceğini” gösterdiğini söyledi – ancak şunu da ekledi: “CrowdStrike pek çok açıdan… kıl payı kaçırılan ya da şanslı bir olaydı kırmak.”
“Microsoft’tan etkilenen cihazların yüzde birini değil yüzde 10’unu etkileseydi bu nasıl olurdu?” dedi. “Bir yazılım yaması veya yazılım güncellemesi konusunda hata yapan sadece bir insan değil de, sistemleri bozmak isteyen kasıtlı devlet temelli bir aktör olsaydı ne olurdu?
“Bu tür faaliyetlerin etkilerinin neler olduğunu düşünmeliyiz.”
Anstee, hükümetin “dijital tedarik zincirleri dediğimiz şeyin sistem düzeyinde bir görünümünü oluşturmak için” endüstriyle birlikte çalıştığını söyledi.
Anstee, “CrowdStrike bu tartışmanın gerçekten katalizörü oldu” dedi.
“Ekonomi genelindeki tedarik zincirlerimiz ve dijital sistemlerimizin birbirine bağlılığı konusunda yeterli görünürlüğe sahip olmadığımızdan endişe duyuyoruz.”
Anstee, Kritik Altyapı Güvenliği Yasası’nın (SOCI) kritik altyapı operatörlerinin tedarik zincirlerindeki bileşen hizmetlerine biraz ışık tutmaya yardımcı olduğunu ancak daha geniş kapsamlı olmadığını belirtti.
Ayrıca, “tedarik zincirlerinin küresel bağlantısının veya bu kritik altyapı sistemleri arasındaki mevcut karşılıklı bağımlılığın yeterli görünürlüğünün” olmadığını da söyledi.
“İster enerji ve elektrik sektörü, ister sağlık ve üniversite sektörü arasındaki bağlantılar ve bunların dijital bağlantılılığı olsun, biz bunu haritalandırmaya, anlamaya ve bu bağımlılıkları bizi dijital açıdan daha dirençli kılacak şekilde deneyip test etmeye çalışıyoruz. dedi Anstee.
Siber yasalar
Geçen hafta ilk özel siber güvenlik yasa tasarısının yasalaşması CyberCon’da ön plandaydı.
Anstee bunu “üzerine inşa edebileceğimiz temel bir mevzuat parçası” olarak nitelendirdi.
“Bu gerçekten bir çerçeve belgesi ve tehdit ortamı geliştikçe, biz politika uzmanlarının deyimiyle, üzerine yeni siber güvenlik reformları inşa edebileceğimiz ve endüstriyle birlikte çalışabileceğimiz bir yasama mimarisine sahip olacağımız anlamına geliyor. bizi yeni ve zorlu bir döneme taşıyacak amaca uygun mevzuatımız var” dedi.
Başlangıçta yasanın temel gerekliliklerinden biri, tehdit aktörlerine yapılan fidye ödemelerinin açıklanmasıdır.
Anstee bunu bir “veri toplama çalışması” olarak nitelendirdi ve hükümetin ödeme yaptığını bildiren şirketleri cezalandırmak değil, “siber ortamı daha iyi anlamak” istediğini ekledi.
Bir tehdit aktörüne ödeme yaptığını açıklamamayı seçen şirketler para cezasına çarptırılabilir ancak Anstee bunun son çare olduğunu ve bu noktaya gelmesine izin verilmesinin “olası olmadığını” belirtti.
Kendisi, hükümetin istediğini elde etmek için öncelikle bir dizi katılım adımından geçeceğini, yani ödemenin ve ilgili veri noktalarının açıklanacağını söyledi.
Bu, mevzuatta daha geniş bir yaklaşımdı.
“Bence herhangi bir politika veya düzenleme tasarımında, mevzuatın gönüllü bir yasaya sahip olmasından önce, mevzuatı çok fazla cezalandırıcı olmayan bir eylemle başlatmak ve daha sonra uyumsuzluk görürseniz belki numarayı aramak gibi bir süreç üzerinde çalışmak her zaman iyidir. Bunu gerekli görüyorsanız yapın” dedi.