NAB, bulut hizmeti anlaşmalarının maddelerini müzakere etmeye çalışırken güç dengesizliği nedeniyle hükümetin bulut sağlayıcılarına minimum siber güvenlik standartları uygulamasını istiyor.
Bir sunumda [pdf] hükümetin başına 2023-2030 Avustralya Siber Güvenlik Stratejisi Tartışma belgesinde ‘dört büyük’ banka, zorunlu minimum standartların “Avustralya’da iş yapan ve kişisel bilgileri saklayan veya işleyen” tüm SaaS, bulut depolama ve BT hizmet sağlayıcıları için geçerli olduğunu öne sürdü.
Banka, Avustralya’daki işletmelerin dış kaynaklı üçüncü taraf sağlayıcıların güvenlik duruşlarına ve yatırımlarına “büyük ölçüde (ve giderek daha fazla bağımlı)” olduklarını söyledi.
NAB, “Bu işletmeler genellikle BT sağlayıcılarıyla ‘al ya da bırak’ temelinde standart form sözleşmeleri üzerinden sözleşme yapıyor” dedi.
“Bu standart biçimli sözleşmeler genellikle BT sağlayıcısının siber güvenliğe ilişkin sorumluluk ve yükümlülüklerini en aza indirmek için tasarlanmıştır; bu da sağlam siber güvenliğe yatırım yapma ve bunlara öncelik verme teşvikini azaltır.
“Bunu ele almak için, BT sağlayıcılarının, siber güvenlikle ilgili olarak, BT sağlayıcıları ile müşterileri arasındaki ikili görüşmelere dayanmayan ek özel düzenlemelere tabi olmalarını öneriyoruz.”
Telekomünikasyon gibi diğer endüstrilerde de kapasite ve hizmet sağlayan toptancılar ile bunları satan perakendeciler arasındaki güç dengesizliklerini gidermek için benzer düzenlemeler bulunmaktadır.
NAB’nin bunu başarmak için önerisi, Avustralya Gizlilik İlkesi 11’in kullanılması – “bilgileri korumak için koşullar altında makul olan adımların atılması” – ancak daha sonra devam edilmesi ve sağlayıcıların bu amacı karşılamak için atması gereken “en önemli adımları” belirtmesidir. prensip.
NAB, bu adımların Avustralya Sinyal Müdürlüğü’nün ‘Temel Sekiz’ kontrolleriyle uyumlu olabileceğini ve tehdit ortamı geliştikçe zaman içinde “arttırılabileceğini” öne sürüyor.
Banka, bir sağlayıcının değiştirilmiş APP11 ilkesine uyma yükümlülüğünün, önerildiği gibi, “BT sağlayıcıları ile müşterileri arasındaki tüm sözleşmelere kanunla dahil edilmesi gerektiğini” söyledi.
NAB, “Bir BT sağlayıcısının APP11’e (bu şekilde değiştirilmiş) uymaması, BT sağlayıcısının müşterisine ve veri sahiplerine Gizlilik Yasası kapsamında sözleşmeden doğan sorumlulukla sonuçlanabilir” dedi.
“Bu, BT sağlayıcılarının siber güvenlik uygulamalarını iyileştirmelerine ve özellikle de en azından yeni düzenlemede sıralanan belirli adımların atılmasını sağlamaya yönelik teşvikleri kümülatif olarak artıracaktır.”
NAB, böyle bir plandan özellikle küçük ve orta ölçekli işletmelerin yararlanacağını söylerken, muhtemelen kendisi gibi daha büyük oyuncuların da yararlanabileceğini belirtti.
“Daha büyük işletmeler bile bu konularda BT tedarikçileriyle zorluklar yaşıyor” dedi.
NAB, sunumunun başka bir yerinde, tüm telekomünikasyon sektörü genelinde, dolandırıcılık mesajlarını engellemek için Telstra tarafından kurulan zorunlu bir “Temiz Borular” programı çağrısında bulundu.