Hükümetin Siber ve Altyapı Güvenlik Merkezi (CISC), yeni bir zorunlu raporlama rejiminin ilk dokuz ayında kritik altyapı sağlayıcılarından 47 siber olay raporu aldı.
Bilgi güvenliği olaylarının zorunlu olarak raporlanması, genellikle SOCI olarak kısaltılan ‘kritik altyapının güvenliği’ yasalarında yapılan değişikliklerin ardından geçen yıl 11 kritik altyapı sektörü için yürürlüğe girdi.
Avustralya Siber ve Altyapı Güvenlik Merkezi’nin (CISC) açılış başkanı Hamish Hansford Pazartesi günü senato tahminlerine göre, merkezin geçen yıl 1 Nisan’dan itibaren zorunlu plan kapsamında olay raporları almaya hazır olduğunu söyledi.
Sağlayıcılara, zorunlu raporlamanın tam olarak yürürlüğe girmesinden önce 8 Temmuz 2022’ye kadar üç aylık bir ödemesiz süre verildi.
Şimdi, etkisi ‘kritik’ veya ‘ilgili’ olarak derecelendirilen bir olay yaşarlarsa, bunu Avustralya Siber Güvenlik Merkezi (ACSC) aracılığıyla bildirmeleri ve ardından CISC’ye iletmeleri gerekir.
“Zorunlu siber olay raporlama portalı, Avustralya Sinyal Müdürlüğü bünyesindeki ACSC tarafından barındırılıyor ve daha sonra bu sürecin bir parçası olarak, insanlar mevzuata uygunluk gereklilikleri için rapor verdiklerini işaretleyebilir ve ardından bu otomatik olarak iletilir. İçişlerinde Siber ve Altyapı Güvenlik Merkezi, ”dedi Hansford.
“Kritik altyapıda meydana gelen başarılı siber olayların doğası hakkında gerçek bir anlayış elde etmek için hem ACSC’ye hem de bize verilen sabit sayıda zorunlu siber olay raporu var.
“1 Nisan 2022 ile 31 Aralık 2022 tarihleri arasında zorunlu siber olay raporu kriterlerini karşıladığını söylediğimiz kırk yedi (47) adet bildirim yapılmıştır.”
Sağlayıcıların, olayın ciddiyetine bağlı olarak, zorunlu bir olay raporu sunmak için 12 saat ile 72 saat arasında süreleri vardır.
Hansford, genel olarak, hükümet tarafında SOCI’nin uygulanmasına “çok iş” yapıldığını söyledi; benzer büyük ölçekli çabalar ve yatırımlar sanayide de yaşanıyor.
Son zamanlarda bu, Hansford’un “Avustralya kritik altyapısının güvenlik ayarlarını ve önleyici risk yönetimini yükseltmek için gerçekten tasarlanmış önemli bir çalışma grubu” olarak tanımladığı bir risk yönetimi programının (RMP) tasarımına ilişkin bir istişareyi kapsıyordu.
Belgelere göre, SOCI kapsamında, kritik bir altyapı varlığının sahibi veya işletmecisi “kurulları, konseyleri veya diğer yönetim organları tarafından onaylanan RMP’ler geliştirmesi gerekecek”.
Hansford, “Hükümet bunun çok çok kısa sürede sonuçlandırılmasını bekliyor” dedi.
“Bunun temel bir etkisi olacak.
“Avustralya tarihinde ilk kez, aksi hâlihazırda yürürlükte olan düzenleyici yükümlülükler yoksa, tüm kritik altyapı sağlayıcıları için kritik bir altyapı temel güvenlik yükümlülükleri setine sahip olacağımızı düşünüyorum.”
Hansford, özellikle sistemleri “ulusal öneme sahip” ilan edilenler olmak üzere kritik altyapı operatörleri için topluluk oluşturmaya da önemli çabalar harcandığını söyledi.
“Son yedi ay boyunca, Avustralya’daki birbirine en yüksek düzeyde bağımlı kritik altyapıdan oluşan bir topluluk oluşturmak için bu sistemlerle çok çalıştık ve egzersizleri nasıl yapacağımıza gerçekten baktık, bu nedenle bir dizi planlama yaptık. son birkaç hafta içinde büyük bir finansal kuruluş, eyalet ve bölge hükümetleri ile yapılan tatbikatlar da dahil olmak üzere” dedi.
“Ulusal öneme sahip bu sistemlerin çoğu için olay müdahale planlama yükümlülüklerini uygulamaya koyduk.”
Gelecekte ulusal öneme sahip başka sistemlerin de ilan edilebileceğini ekledi. Listenin genişletilmesiyle ilgili bir istişare bu ayın sonunda yapılacak.