Jeo-Özel, Standartlar, Yönetmelikler ve Uyumluluk
2024, Hükümetin Siber Güvenlik Konusunda Artan Rolüne İşaret Ediyordu
Jayant Chakravarti (@JayJay_Tech) •
26 Aralık 2024
Avustralya, 2024’te hükümetin Medibank ve Optus veri ihlali olaylarının ardından ülkenin siber güvenliğini güçlendirme niyetini vurgulayan bir dizi siber güvenlik mevzuatı ve düzenlemesi duyurdu.
Ayrıca bakınız: Uzman Paneli | Veri Sınıflandırması: Siber Güvenlik Uyumluluğunun Temeli
Avustralya Parlamentosu, hükümetin siber güvenlik tehditlerini izleme, dayanıklılık oluşturma ve akıllı cihazlardaki güvenlik açıklarını ortadan kaldırma yetkilerini güçlendirmeyi amaçlayan siber güvenlik yasa paketinin temel bir bileşeni olan Siber Güvenlik Yasasını Kasım ayının sonlarında onayladı. Avustralya’nın İşçi Partisi hükümeti, özel sağlık sigortası şirketi Medibank ve telekomünikasyon sağlayıcısı Optus’ta arka arkaya yaşanan siber olayların ardından, 2022’de ülkeyi 2030 yılına kadar dünyanın “en siber güvenli” ülkesine dönüştürme sözü verdi (bkz: Avustralya Dünyanın ‘En Siber Güvenlikli’ Ülkesi Olmayı Hedefliyor)
Yasa, belirli sektörlerin fidye yazılımı ödemelerini raporlamasını gerektiriyor ve hükümete akıllı cihazlar için zorunlu siber güvenlik standartları belirleme yetkisi veriyor.
Siber Güvenlik Yasası’nın Parlamento’nun her iki kanadından da geçmesinden bir hafta önce hükümet, 16 yaşından küçük kullanıcıların sosyal medya platformlarına erişimini yasaklama niyetini duyurdu; bu hareket ülke çapında sert eleştirilere yol açtı ve eleştirmenler genel yasağı “çok kör bir araç” olarak nitelendirdi. Riskleri etkili bir şekilde ele almak” ve yasağın nasıl uygulanacağı sorgulanıyor.
Hükümet ayrıca yıl boyunca, mali düzenleyicinin bankalara, mali hizmetlere ve sigorta sağlayıcılarına siber güvenlik değerlendirmelerinden geçmelerini söylemesi, hükümetin kritik altyapı tanımı kapsamına giren hizmetlerin listesini genişletmesi ve siber güvenlik veri gizliliği endişelerini gündeme getiren bir dijital kimlik planı.
Hükümet, Avustralya kuruluşlarından fikri mülkiyet ve ticari sırları çalmak amacıyla ulus devlet aktörleri tarafından yürütülen sürekli siber casusluk faaliyetlerine atıfta bulunarak, kritik altyapıyı ve finans sektörünü güçlü bir şekilde düzenleme niyetini haklı çıkardı. Temmuz ayında Avustralya Siber Güvenlik Merkezi, APT40 olarak takip edilen Çin devlet destekli bir siber casusluk grubunun, hassas bilgileri çalmak ve kurbanlarını gözetlemek için hükümete ve özel kuruluşlara karşı siber casusluk kampanyaları yürüttüğünü söyledi.
Gevşek Siber Güvenlik Kontrolleri ve Süreçleri
Avustralya Ulusal Denetim Ofisi tarafından yapılan bir denetim, Avustralya İşlem Raporları ve Analiz Merkezi ve Avustralya Hizmetleri gibi hükümet kuruluşlarının, olay yönetimi prosedürlerini tasarlama ve uygulama veya operasyonlardaki kesintileri azaltmak için etkili olay yönetimi kurtarma uygulamalarını uygulama konusunda orta düzeyde bir yetenek sergilediğini ortaya çıkardı.
Hükümet, kendisine belirli veri depolama sistemlerini kritik altyapı varlıkları olarak sınıflandırma ve sahiplerinin varlıklara kritik altyapı düzenlemelerini uygulamasını zorunlu kılma yetkisi vermek amacıyla Kasım ayında Kritik Altyapı Güvenliği Yasası 2018’de değişiklik yaptı.
Avustralya Siber ve Altyapı Güvenlik Merkezi de Kasım ayında 46 ek kritik altyapı varlığını “ulusal öneme sahip sistemler” olarak belirledi ve bu tür varlıkların toplam sayısını kritik altyapı sektörlerinde 200’den fazla sisteme çıkardı.
Belirlenen sistemlerin operatörleri, bu tür varlıkların sürekli izlenmesini ve yönetilmesini sağlamak için siber güvenlik kontrolleri uygulamalı, tatbikatlar ve değerlendirmeler yürütmeli ve federal siber güvenlik kurumlarıyla bilgi paylaşmalıdır.