Avustralya hükümeti, yakın zamanda Parlamento tarafından onaylanan yeni Siber Güvenlik Yasasını kabul etti. Bu yeni yasanın en kritik hükümlerinden biri, kuruluşların bilgisayar korsanlarına yapılan fidye yazılımı ödemelerini 72 saat içinde bildirmesi gerektiğini zorunlu kılıyor. Bu değişiklik, Avustralya’nın siber dayanıklılığını artırmayı ve siber suçluları caydırmayı, aynı zamanda işletmelerin eylemlerinden sorumlu kalmasını sağlamayı amaçlıyor.
Avustralya Siber Güvenlik Yasası, özellikle fidye yazılımı saldırılarından etkilenen kuruluşlar için bir dizi yeni gereksinim getiriyor. Özellikle işletmelerin bir fidye yazılımı saldırısına yanıt olarak ödeme yapmaları durumunda artık 72 saat içinde Avustralya Sinyal Müdürlüğü’nü (ASD) bilgilendirmeleri gerekiyor. Bu hamlenin amacı, ASD’nin fidye yazılımı eğilimlerini izlemesine, ulusal güvenliğe yönelik potansiyel tehditleri değerlendirmesine ve kolluk kuvvetlerinin siber suçluları takip etme becerisine yardımcı olmasıdır.
Avustralya Siber Güvenlik Yasası ve Yasal Yükümlülükler
Yeni yasa hızlı raporlamayı vurgulasa da kuruluşları fidye ödemeyle ilgili daha geniş yasal yükümlülüklerden muaf tutmuyor. Bu mevzuat, acil güvenlik endişelerinin giderilmesi ile işletmelerin yasal çıkarlarının korunması arasında bir denge kurmayı amaçlamaktadır.
Avustralya Siber Güvenlik Yasası’nın bir parçası olarak yasa, siber suçlulara ödeme yapılması önerilmezken, fidye ödemenin haklı görülebileceği istisnai durumların olabileceğini özellikle belirtiyor. Hükümet, siber suçlulara yönelik mali teşvikleri azaltmayı ve Avustralya’yı siber saldırılar için daha az çekici bir hedef haline getirmeyi amaçladığı için fidye ödemelerine karşı şiddetle tavsiyede bulunuyor.
Siber Güvenlik Kanununun Temel Hükümleri
Fidye ödemelerine ilişkin 72 saatlik raporlama yükümlülüğü, yeni Siber Güvenlik Yasası kapsamındaki en ilginç değişikliklerden biri. Küçük işletmeler dışındaki şirketlerin, tutarı ne olursa olsun herhangi bir fidye yazılımı ödemesi yapmaları durumunda artık ASD’ye bildirimde bulunmaları gerekiyor. Kanunda ayrıca bu bildirimler sırasında şirketin yasal haklarını koruyan, avukat-müvekkil iletişimi gibi ayrıcalıklardan otomatik olarak feragat edilmemesini sağlayan hükümler de yer alıyor.
Fidyeyi bildirmenin yanı sıram ödemeleri, akıllı cihazlar için yeni güvenlik standartları Kanunu kapsamında da uygulanacaktır. Televizyonlar, hoparlörler, saatler ve kapı zilleri de dahil olmak üzere Nesnelerin İnterneti (IoT) cihazları üreticilerinin yeni güvenlik standartlarını karşılaması gerekecek. Bu standartlar, güvenli varsayılan ayarları, her cihaz için benzersiz şifreleri ve hassas verilerin şifrelenmesini içerecektir. Bu gerekliliklerin ayrıntıları hâlâ sonuçlandırılırken, girişim, modern teknolojinin birbirine bağlılığıyla bağlantılı artan riskleri ele almaya yönelik açık bir çabadır.
Avustralya Siber Güvenlik Yasasına yapılan bir diğer önemli ekleme ise Siber Olay İnceleme Kurulunun kurulmasıdır. Bu kurul, fidye yazılımı saldırıları da dahil olmak üzere ulusal güvenliği veya kamu refahını etkileyen büyük siber olayların incelenmesinden sorumlu olacak. Kurul, kuruluşların olaylara nasıl tepki verdiğini değerlendirecek ve gelecekteki müdahaleleri iyileştirmek için öneriler sunacak. Ancak kurul, ilgili kuruluşların kusurunu tespit etmeyecek veya yasal haklarına halel getirmeyecektir.
Kritik Altyapı Güvenliği Yasasının Kapsamının Genişletilmesi
Siber Güvenlik Yasası ayrıca, 2018 Kritik Altyapı Güvenliği Yasası’nı (SOCI Yasası) kritik altyapıyla ilişkili veri sistemlerini kapsayacak şekilde genişletiyor. Kamu hizmetleri, sağlık hizmetleri ve finans gibi sektörlerde dijital sistemlere bağımlılığın artmasıyla birlikte bu sistemler siber saldırıların ana hedefi haline geldi.
Değişiklikler, düzenleyicilerin kritik altyapı varlıklarına bağlı veri sistemleri için daha iyi koruma sağlamasına olanak tanıyacak. Bu değişiklik yetkililere, ulusal güvenliği veya kamu güvenliğini etkileyebilecek güvenlik açıklarını değerlendirme ve ele alma konusunda ek yetkiler veriyor.
Kritik altyapı sistemlerini yöneten kuruluşların artık bu sistemleri siber tehditlerden korumak için yeni yükümlülükleri yerine getirmesi gerekiyor. Bu, daha yoğun düzenleyici incelemelere hazırlanmayı ve siber güvenlik önlemlerinin bu alanda artan tehditlerle başa çıkmak için yeterli olmasını sağlamayı da içeriyor.
Kuruluşlar İçin Çıkarımlar ve Nasıl Hazırlanmalı?
Siber Güvenlik Yasası’nın yürürlüğe girmesi, özellikle hassas bilgiler veya kritik altyapılarla ilgilenen işletmeler için geniş kapsamlı sonuçlar doğuracaktır. Uyumlu kalabilmek için kuruluşların siber güvenlik protokollerini, özellikle de fidye yazılımı ödemelerine ilişkin zorunlu 72 saatlik raporlama yükümlülüğüne ilişkin olarak güçlendirmeleri gerekiyor. Bu, olay müdahale planlarının iyileştirilmesini, risk yönetimi çerçevelerinin revize edilmesini ve çalışanların siber olayları etkili bir şekilde ele alma konusunda eğitilmesini sağlamayı içerebilir.
Ayrıca şirketlerin daha geniş düzenleyici sorumluluklarının bilincinde olmaları gerekir. Avustralya Siber Güvenlik Yasası kapsamındaki yeni raporlama gerekliliklerine ek olarak kuruluşların, Gizlilik Yasası ve Kritik Altyapı Güvenliği rejimi gibi mevcut düzenlemelere uymaya devam etmesi gerekiyor. Bu düzenlemeler halen yürürlüktedir ve işletmelerin kapsamlı uyum sağlamak için yeni yasayla nasıl etkileşimde bulunduklarının farkında olmaları gerekir.
Kuruluşların yöneticileri de dikkate almalı hareket etme genel görevlerindenŞirketin çıkarları en iyi şekilde. Bu, fidye ödemesi yapmayla ilgili risklerin tartılmasını, bunun siber olayı gerçekten çözüp çözmeyeceğini veya kuruluşu yalnızca gelecekteki bir hedef haline getirip getirmeyeceğini değerlendirmeyi içerir. Fidye ödeme kararı aynı zamanda şirketi terörle mücadele ve kara para aklamayı önleme yasaları kapsamındaki yasal risklere de maruz bırakabilir.
İlgili