Avustralyalı telekomünikasyon şirketleri de yakında hükümete riskler ve azaltımlara ilişkin yıllık bir beyan sunmak zorunda olan diğer kritik altyapı operatörlerini takip edecek.
İçişleri Bakanlığı Pazartesi günü yaptığı açıklamada, Altyapı, Ulaştırma, Bölgesel Kalkınma, İletişim ve Sanat Departmanı (DITRDCA) ile birlikte “telekomünikasyon sektörü için uyumlu bir güvenlik düzenleme çerçevesinin birlikte tasarlanması” için endüstriyle birlikte çalıştığını açıkladı.
İçişleri Bakanlığı bir sunumunda “Bu, özel bir telekomünikasyon RMP’sinin geliştirilmesini de içeriyor” dedi. [pdf] Optus kesintisi soruşturmasına.
RMP, risk yönetimi programı anlamına gelir [pdf] ve Kritik Altyapı Güvenliği (SoCI) yasalarına tabi olan kritik altyapı operatörleri için önemli bir yükümlülüktür.
Telekomünikasyon şirketleri, kısmen uymaları gereken kendi sektöre özgü güvenlik yasalarına sahip oldukları için SoCI’dan muaftır.
Ancak hükümet yakın zamanda telekomünikasyon şirketlerini SoCI kapsamına almayı planladığını belirtti.
Bunun sektör üzerinde iki etkisi olacaktır: Hükümete ciddi siber olaylara müdahale etme yetkisi verecek ve aynı zamanda telekomünikasyon şirketlerini riskleri ve hafifletme stratejilerini planlamaya zorlayacaktır.
İçişleri Bakanlığı’nın sunumu, risk haritalama çalışmasının makul düzeyde ilerlediğini ve telekomünikasyon şirketlerinin resmi olarak SoCI kapsamına alınmadan bile ilerlediğini gösteriyor.
Bu yetenek önceden geliştirilse de, bunu uygulamak için mevzuat değişikliğine ihtiyaç duyulabilir.
İçişleri Bakanlığı, “Telekomünikasyon sektörü için RMP zorunluluğu etkinleştirildiğinde, temel güvenlik uygulamalarını iyileştirecek ve sorumlu kuruluşların tüm tehlikelerden kaynaklanan riskleri belirleme, önleme ve azaltmaya yönelik bütünsel ve proaktif bir yaklaşım benimsemesini sağlayacaktır.” dedi.
Bir RMP, tüm telekomünikasyon şirketlerini “derin ağ sorunları gibi tehditleri ortaya çıktıkça tespit etmek ve bunlara yanıt vermek” ve “sağlam” hafifletme ve iyileştirme önlemlerine sahip olmak için süreçlere sahip olmaya zorlayacaktır.
İçişleri Bakanlığı, “Optus kesintisinin gösterdiği gibi, risk her zamankinden daha karmaşıktır ve sonuç yönetimi tek bir vektörle sınırlandırılamaz” dedi.
“Hizmetlerin kaybı, nedeni ne olursa olsun, iş ve kişisel düzeyde önemli etkilere yol açtı ve büyük tüketici sıkıntılarına neden oldu.
“Hükümet, bu sonuçları yönetmek için yasal araçların yeterli olmasını sağlamak için olası yolları değerlendiriyor.”
Optus kesintisi
İçişleri Bakanlığı’nın sunumu, uzun bir süre olayın siber güvenlikle ilgili olup olmadığı belirsiz olduğundan hükümetin kesintiye müdahale mekanizmalarıyla ilgili bazı erken kafa karışıklıklarını detaylandırıyor.
Departman yetkilileri, olaya müdahale desteği sunmak için ilk olarak şifreli mesajlaşma hizmeti Signal aracılığıyla Optus ile temasa geçti.
Bir noktada – Optus’un kendi kronolojisine göre sabahın ortasında – telekomünikasyon şirketi bunun nedeni olarak bir siber olayı dışladı ve hükümete nedeninin “belirlenmemiş teknik sorunlar” olduğunu söyledi.
İçişleri Bakanlığı’ndaki Siber ve Altyapı Güvenlik Grubu hükümetin müdahalesine öncülük etti, ancak Ulusal Siber Güvenlik Koordinatörü “bir siber saldırıya ilişkin bilgilerin değişmesi durumunda kapsamayı sağlamak için görevde kaldı.”
İçişleri Bakanlığı, “Kesinti sırasında ne Optus’un ne de bakanlığın, olayın nedeninin bir siber saldırı veya başka bir kötü niyetli eylem olduğunu kategorik olarak dışlayamadığı unutulmamalıdır.” dedi.
“Bu sunumun yazıldığı sırada bakanlık, nedenin kötü niyetli bir eylem olduğunu dışlayacak başka bir bilgi almadı.”
Optus, saat 14:00 AEDST’de Commonwealth, Eyalet ve Bölge yetkililerine “olay hakkında bildikleri hakkında” bilgi vermeye devam etti.
İçişleri Bakanlığı, “Bu, kesintiye neden olan arızanın bazı teknik ayrıntılarını içeriyordu, ancak bazı ayrıntılar belirsizliğini korudu” dedi.
İçişleri Bakanlığı, Optus’un gelecekte bir soruşturmayla karşı karşıya kalabileceği ihtimalinin “dışlanamayacağını” söyledi. Telekomünikasyon Yasası.
Özellikle, altında Bölüm 14 Bölüm 313(1A)İçişleri Bakanlığı, lisanslı taşıyıcıların “ağlarını ve tesislerini yetkisiz erişim ve müdahaleden korumak için ‘ellerinden gelenin en iyisini yapması’ gerektiğini” söyledi.