İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Özel
Yeni Kanun Daha İyi Raporlama, Cihazların ve Kritik Altyapının Güvenliğini Talep Ediyor
Jayant Chakravarti (@JayJay_Tech) •
26 Kasım 2024
Avustralya hükümetinin önerdiği siber güvenlik mevzuatı Pazartesi günü Parlamentonun her iki meclisinden de geçerek hükümetin fidye yazılımı ödeme raporlamasını artırma, bağlı cihazlar için temel siber güvenlik standartlarını zorunlu kılma ve kritik altyapı güvenliğini artırma stratejisini resmileştirdi.
Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltmaya Yönelik Uzman Kılavuzu
Siber Güvenlik Yasası, aynı zamanda kritik altyapı sistemlerini daha iyi güvenceye almak ve önemli siber güvenlik olaylarını incelemek ve kamuya açık bulguları yayınlamak için bir Siber Olay İnceleme Kurulu oluşturmak amacıyla Kritik Altyapı Güvenliği Yasası 2018’de değişiklik yapacak kapsamlı bir siber güvenlik yasama paketinin bir parçasını oluşturuyor.
Siber Güvenlik Bakanı Tony Burke, Siber Güvenlik Yasası’nın kabul edilmesinin, hükümetin Avustralya’yı 2030 yılına kadar dünyanın en güvenli ülkesi haline getirmeyi amaçlayan sekiz yıllık siber güvenlik stratejisi kapsamında “dönüm noktası niteliğinde bir reform” olduğunu söyledi.
Burke, “Hükümet, Avustralyalıları siber tehditlerden koruma misyonumuzun önemli bir ayağı olan Avustralya’nın ilk bağımsız Siber Güvenlik Yasasını yasalaştırdı” dedi. “Bu paket, Avustralya’nın sürekli değişen siber ortam karşısında netlik ve güvenle ilerlemesi için uyumlu bir yasal araç kutusu oluşturuyor.”
Siber Güvenlik Yasası, bakana Avustralya’da üretilen veya satılan akıllı cihazlar için zorunlu siber güvenlik standartlarını belirleme yetkisi veriyor. Devlet kurumlarına internete bağlı cihazları siber güvenlik açıkları açısından test etme ve zayıf noktalar bulunursa bunların kaldırılmasını emretme yetkisi verir.
Kanun aynı zamanda işletmeler tarafından bildirilen siber güvenlik olaylarını araştıran devlet siber güvenlik kurumlarına da sınırlı kullanım yükümlülüğü getiriyor. Bu, kurumların bu tür verileri yalnızca belirli olayları araştırmak için kullanabileceğini ve paylaşabileceğini ve bilgilerin, davalar veya başka yollarla raporlama yapan kuruluşu hedef almak için kullanılamayacağının garanti altına alınmasını gerektirir. Burke, bu yükümlülüğün mağdur kuruluşlarla hükümet arasında “hızlı ve açık bilgi paylaşımını” kolaylaştıracağını söyledi.
9 Ekim’de Parlamento’ya sunulan yasa paketi, hükümetin ülkenin siber güvenlik yasalarını ve düzenlemelerini Avustralya Siber Güvenlik Stratejisi ile uyumlu hale getirme planları hakkında geri bildirim almak amacıyla Aralık ayında başlattığı uzun bir istişare sürecinin ardından geldi (bkz: Avustralya, İşletmelerin Fidye Ödemelerini Bildirin).
Hükümetin tasarıları sunmanın ardındaki net vizyonu, şeffaflığı artırmak ve ortaya çıkan tehditlere daha iyi yanıt verebilmek için siber güvenlik ortamı hakkında mümkün olduğunca fazla bilgi toplamaktı. Sınırlı kullanım zorunluluğunun yanı sıra yasa, belirli bir kategorideki kuruluşlar tarafından hükümet tarafından belirlenecek minimum eşik değeriyle fidye yazılımı ödemelerinin raporlanmasını zorunlu kılıyor.
Hükümet, Siber Güvenlik tasarısına eklenen açıklayıcı bir bildiride, fidye yazılımı ödeme raporlamasının “fidye yazılımının Avustralya’daki ekonomik ve sosyal etkisinin” daha iyi anlaşılmasına yardımcı olacağını söyledi. Önceki gönüllü raporlama planına göre, beş kuruluştan yalnızca biri fidye yazılımı ödemesi yaptığını bildirdi.
Siber Güvenlik Yasası ayrıca, önemli siber güvenlik olaylarının hatasız, olay sonrası incelemelerini gerçekleştirecek ve mağdur kuruluşların gelecekte güvenlik olaylarını önlemesine, tespit etmesine, yanıt vermesine ve etkilerini en aza indirmesine yardımcı olacak önerilerde bulunacak bir Siber Olay İnceleme Kurulu oluşturur.
Kritik Altyapı Güvenliği Yasası 2018’de yapılan değişiklikler aynı zamanda hükümete belirli veri depolama sistemlerini kritik altyapı varlıkları olarak sınıflandırma ve sahiplerinin bu varlıklara kritik altyapı düzenlemelerini uygulamasını zorunlu kılma yetkisi veriyor. Hükümet ayrıca kritik altyapı işletmecilerini bir siber güvenlik olayının ardından belirli önlemleri almaya yönlendirme yetkisine de sahip olacak.