Resim kredisi: Senatör James Paterson.
Liberal senatör James Paterson, hükümeti, özel sektörü siber saldırı soruşturmalarında kritik bilgileri paylaşmaya – ve saklamamaya – teşvik eden güven ve psikolojik güvenlik mekanizmaları oluşturmaya çağırdı.
Dün Avustralya Siber Konferansı 2023’te konuşan Paterson, Optus ve Medibank olay müdahalesinden alınan “derslerden” birinin, özellikle hükümetin kendisini mücadeleye dahil etme şekli olduğunu söyledi.
Özellikle Optus, geçen yıl veri ihlalini ifşa ettikten sonra federal hükümet bakanları tarafından güçlü ve tekrarlanan eleştirilere maruz kaldı.
“Optus saldırısının ardından birkaç CISO ile görüştüm. Bana yüksek sesle ve net bir şekilde söylediğiniz şey, krizin ortasında hükümetin Optus’a yaptığı aleni saldırılardan alarma geçtiğinizdi” dedi.
“Birçok kişi, meşgulken bunun size karşı kullanılabileceğinden korktuğunuz için, gelişen bir siber kriz hakkında hükümetle bilgi paylaşmanın güvenli olup olmadığı veya şirketinizin çıkarları için en iyisi olup olmadığı konusunda kafanızda şüphe uyandırdığını söyledi. yangını söndürmeye çalışıyor.
“Telefonu ACSC’ye götürmek yerine [Australian Cyber Security Centre] ilk etapta bunun yerine avukatları ararsınız.”
Paterson, bir avukatın kendisine “müvekkillerine bir siber saldırı hakkında hükümetle bilgi paylaşma konusunda yasal bir risk bulunmadığını tavsiye edemeyeceklerini” tavsiye ettiğini de sözlerine ekledi.
Optus yakın tarihli bir örnek olsa da, yetkililerle işbirliği konusu olaydan önceye dayanıyor; Toll Group daha önce, yüksek profilli bir 2020 fidye yazılımı saldırısının ardından yetkililerle işbirliği düzeyi nedeniyle üstü kapalı da olsa eleştirilmişti.
Paterson, iki taraf arasındaki bilgi akışının devam etmesini sağlamak için siber güvenlik konusunda “endüstri ve hükümet arasında gerçek bir ortaklık” olması gerektiğini söyledi.
“Bir siber saldırı olduğunda hükümet ve iş dünyası arasında kesintisiz, zamana duyarlı bilgi paylaşımına ihtiyacımız var” dedi.
“Hiçbir CISO’nun veya CEO’sunun telefonu ACSC’ye açıp bildiklerini paylaşmakta tereddüt etmesini göze alamayız.”
Paterson, daha önce bir güvenli liman mekanizması önerdiğini söyledi – “başka hiçbir amaçla kullanılmayacak bilgileri paylaşmak için korunan ve gizli bir süreç.”
“Kötülenme ve dava korkusunu ortadan kaldırarak, güvenli bir liman, özel sektörü kriz zamanlarında ASD gibi federal kurumlarla işbirliği içinde çalışmaya teşvik edecektir” dedi.
“Bu, şirketlerin müşteri bilgilerinin ihmalkar bir şekilde ele alınmasından veya zayıf siber güvenlikten sorumlu tutulamayacağı veya sorumlu tutulamayacağı anlamına gelmez. Kesinlikle yapmalılar.
“Ancak bu, kriz yatıştıktan sonra gelebilir ve krizi çözmeye çalışırken ASD’li şirketlerin gönüllü olarak paylaştığı bilgilere dayanmamalıdır.”
Bilginin yalnızca olaya müdahale için önemli olmadığını, aynı zamanda etkilenen müşterilerin ve halkın bir olay ortaya çıktıkça güvenilir bilgilerle bilgilendirilebilmesi için de önemli olduğunu ve hükümetin eğitmek için bir “yetkili ses” kurmayı düşünmesi gerektiğini ekledi. Siber güvenlik riskleri hakkında kamuoyu.