Avustralya hükümeti, giderek karmaşıklaşan ve tehdit oluşturan siber tehditlere karşı ülkenin savunmasını geliştirmek amacıyla Siber Güvenlik Tasarısı 2024 olarak bilinen ilk bağımsız siber güvenlik yasasını duyurdu. Bu mevzuatın yürürlüğe girmesi, Avustralya’nın siber ortamının ve kritik altyapısının güvenliğini ve dayanıklılığını artırmada kritik bir adıma işaret ediyor.
Hükümet, daha iyi siber güvenlik önlemlerine acil ihtiyaç olduğunu kabul etti. İçişleri Bakanı Tony Burke, bu yeni yasal çerçevenin önemine vurgu yaparak, “Bireylerin her gün kullandıkları ürünlere güvenmesini sağlayacak bir çerçeveye ihtiyacımız var.” Siber Güvenlik Tasarısının yalnızca siber olay mağdurlarına yönelik korumayı artırmakla kalmayıp aynı zamanda bu tür tehditlerle mücadelede hükümetle etkileşimi de teşvik edeceğini vurguladı.
Siber Güvenlik Tasarısı, mevcut mevzuat boşluklarını gidermek için tasarlanan 2023-2030 Avustralya Siber Güvenlik Stratejisi kapsamındaki birçok önemli girişimi kapsıyor. Avustralya’yı siber güvenlik alanında uluslararası en iyi uygulamalarla uyumlu hale getirmek ve ülkeyi bu kritik alanda potansiyel bir küresel lider olarak konumlandırmak için yedi temel girişimi hayata geçirecek.
Avustralya Siber Güvenlik Yasasının Temel Bileşenleri
Yeni Avustralya siber güvenlik yasasının öne çıkan özelliklerinden biri, Nesnelerin İnterneti (IoT) cihazları için minimum siber güvenlik standartlarını zorunlu kılmasıdır. Şu anda Avustralya, akıllı cihazlar için zorunlu siber güvenlik standartlarından yoksundur ve mevcut yaklaşımlar “parçalı ve yetersiz” olarak değerlendirilmektedir. Siber Güvenlik Tasarısı 2024, akıllı kapı zilleri, saatler ve diğer IoT aygıtları dahil olmak üzere internete bağlı cihazlar için temel güvenlik önlemleri oluşturmayı amaçlıyor. Bu standartlar, tüketicileri ve kuruluşları benzer şekilde korumak için güvenli varsayılan ayarlar, benzersiz parolalar ve düzenli güvenlik güncellemeleri gerektirecektir.
Mevzuat, akıllı cihazlara yönelik standartların belirlenmesinin yanı sıra, kritik altyapı kuruluşları için fidye yazılımı raporlamasını zorunlu kılıyor. Bu gereklilik, kritik varlıklardan sorumlu özel sektör kuruluşlarının, herhangi bir fidye yazılımı ödemesini, ödeme yapıldıktan veya bunun farkına varıldıktan sonraki 72 saat içinde Avustralya Sinyal Müdürlüğü (ASD) ve İçişleri Bakanlığı’na bildirmelerini zorunlu kılmaktadır. Bu yükümlülüğe uyulmaması, hükümetin fidye yazılımı tehditlerine karşı şeffaflık ve hesap verebilirlik konusundaki kararlılığını vurgulayarak, para cezalarına yol açabilir.
Mevzuatta ayrıca, kritik iş verilerini tutan sistemlerle ilgili mevcut yükümlülükleri açıklığa kavuşturacak ve kritik altyapıyı etkileyen olaylar sırasında hükümet yardım önlemlerini geliştirecek olan Kritik Altyapı Güvenliği Yasası 2018’de (SOCI Yasası) reform yapılması da öneriliyor. Bu reformlar, endüstriler ve kamu kurumları arasında bilgi paylaşımını kolaylaştırmayı ve böylece siber güvenlik olaylarına verilen genel müdahaleyi iyileştirmeyi amaçlıyor.
Kapsamlı Danışma Süreci
Siber Güvenlik Yasa Tasarısının formülasyonu, Aralık 2023’te Siber Güvenlik Yasal Reformları İstişare Belgesinin yayınlanması ve Eylül 2024’te Ortaya Çıkma Taslağı üzerinde daha ileri hedefli tartışmalar da dahil olmak üzere kapsamlı istişareleri içeriyordu. Hükümet, sektör paydaşları ve topluluk arasındaki bu işbirlikçi yaklaşım Avustralya’nın siber güvenlik tehditlerini önleme ve bunlara yanıt verme konusunda iyi hazırlıklı olmasını sağlamak için tasarlanmıştır.
Bakan Burke, kapsamlı bir siber güvenlik çerçevesinin gerekliliğini yineleyerek şunları söyledi: “Fidye yazılımlarına ve siber şantajlara karşı koyma yeteneğimizi geliştiren bir çerçeveye ihtiyacımız var.” Bu çerçeve, kullanıcılar arasında güveni artırmak ve potansiyel tehditlere karşı proaktif bir duruşu teşvik etmek açısından çok önemlidir.
Avustralya’da Siber Güvenlik Yasasının Gelecekteki Etkileri
Siber Güvenlik Yasa Tasarısı 2024, Avustralya siber güvenlik yasasındaki ilerlemeleri temsil ediyor ve ülkede uzun süredir var olan kritik güvenlik açıklarını ele alıyor. Akıllı cihazlar için minimum standartları zorunlu kılan ve fidye yazılımı ödemeleri için net raporlama yükümlülükleri getiren yasa, Avustralya’nın kritik altyapısının dayanıklılığını artırmak ve vatandaşlarını siber tehditlerden korumak için hazırlandı.