mitä sinun tulee tietää uudesta australian kyberturvallisuuslain bannerista

Mitä sinun tulee tietää Australian uudesta kyberturvallisuuslaista

Digitaalinen maailma on yhä vaarallisempi paikka australialaisjärjestöille. Joukko korkean profiilin tietomurtoja ja kiristysohjelmahyökkäyksiä viime vuosina on heikentänyt asiakkaiden luottamusta verkkopalveluihin – puhumattakaan yritysten taloudesta ja maineesta.

Vaikka suurin osa näistä hyökkäyksistä oli taloudellisia, Microsoftin uusi raportti osoittaa, että kyberrikollisuuden ja kansallisvaltiouhkien väliset rajat hämärtyvät. Tämä tarkoittaa, että tällaisia ​​tapauksia käsitellään yhä enemmän kansallisen turvallisuuden kannalta.

Kaikki tämä selittää Albanian hallinnon ennakoivan asenteen. Ensin tuli 2023–2030 Australian kyberturvallisuusstrategia, jossa esitetään etenemissuunnitelma Australian nousemiseksi "maailmanjohtajaksi" alalla vuoteen 2030 mennessä. Ja nyt maamerkkisäädöksessä kyberturvallisuus asetetaan avainasemaan kansallisen turvallisuuden ja taloudellisen vakauden suojelemisessa. Vaikka yksityiskohdat ovat vielä viimeistelyssä, Australian IT- ja turvallisuusjohtajien olisi hyvä aloittaa suunnittelu.

Mitä uudessa laissa on?

Kyberturvallisuuslaki ei ole kunnianhimoinen. Australian ensimmäisenä itsenäisenä kyberturvallisuuslainsäädäntönä se lupaa toteuttaa seitsemän keskeistä aloitetta, jotka on hahmoteltu edellä mainitussa kyberturvallisuusstrategiassa. mukaan Sisäasioiden laitos, lain tarkoituksena on täyttää "lainsäädännölliset aukot" ja tulevaisuudenkestävä maan "kyberympäristö" ja kriittinen infrastruktuuri (CNI) keskittyen seuraaviin:

  • Uudet kyberturvastandardit älylaitteille, jotka luovat perustan kuluttajien parantuneelle tietoturvalle, mukaan lukien yksilölliset salasanat, säännölliset päivitykset ja tietojen salaus
  • Pakollinen ransomware-maksujen ilmoittaminen (joillekin määrittelemättömille liiketoimintatyypeille), jotta viranomaiset ymmärtävät paremmin ongelman laajuuden
  • National Cyber ​​Security Coordinatorille ja Australian Signals Directorate (ASD) on "rajoitetun käytön" velvoite, joka rajoittaa tapaa, jolla nämä elimet käyttävät uhrijärjestöjen heille jakamia tietoja. Lopullisena tavoitteena on kannustaa raportoimaan lisää
  • Uusi kybervälikohtausten arviointilautakunta, joka suorittaa "virheettömät" tutkimukset vakavien tapausten jälkeen ja jakaa julkisesti anonymisoituja näkemyksiä

Kyberturvallisuuslaki edistää ja toteuttaa myös vuoden 2018 kriittisen infrastruktuurin turvallisuutta koskevassa laissa (SOCI Act) hahmoteltuja uudistuksia. Nämä on suunniteltu:

  • Selvennä velvollisuuksia organisaatioille, joilla on liiketoimintakriittisiä tietoja
  • Paranna valtion apua CNI:hen vaikuttavien tapahtumien vaikutusten lieventämiseksi
  • Yksinkertaista tiedon jakamista teollisuuden ja hallituksen välillä
  • Antakaa hallitukselle mahdollisuus pakottaa CNI-yksiköt korjaamaan vakavia riskinhallinnan puutteita
  • Yhdenmukaistaa televiestinnän kyberturvallisuutta koskeva sääntely SOCI-lakiin

Mitä australialaiset yritykset voivat tehdä nyt

Tietomurtoilmoituksia tehtiin vuoden 483 toisella puoliskolla 2023, mikä on 19 % enemmän kuin vuoden ensimmäisellä puoliskolla. mukaan Australian Information Commissionerin toimisto (OAIC), suurin osa (67 %) johtui haitallisista tai rikollisista hyökkäyksistä. Tällaiset kohonneet uhkatasot saivat lainsäätäjät ryhtymään toimiin, ja heidän tulisi jatkuvasti muistuttaa lautakuntia siitä, että tällaisia ​​riskejä on hallittava kokonaisvaltaisemmin.

Vaikka kyberturvallisuuslakia ei ole vielä viimeistelty, ISMS.onlinen asiantuntijoiden mukaan australialaiset organisaatiot voivat tehdä nyt paljon valmistautuakseen toimeksiantoonsa. Tämä koskee erityisesti älylaitteiden valmistajia.

"Alan valmistajille – ja melkein kaikkialla – nyt on hyvä aika tarkastella nykyisiä tietoturvakäytäntöjä, tarkistaa, missä on puutteita tai parannettavaa, ja tehdä suunnitelmia niiden mukauttamiseksi uusiin vaatimuksiin", KnowBe4 johtaa tietoturvatietoisuutta. asianajaja, Javvad Malik kertoo ISMS.onlinelle.

"Älylaitteiden valmistajilla tulisi olla "secure by design" -ajattelutapa, jossa turvallisuus heijastuu tuotteisiin heti niiden suunnittelusta lähtien eikä koskaan jälkikäteen.

Daniel Schell, yksi Airlock Digitalin perustajista ja teknologiajohtaja, ennustaa, että mahdolliset standardit, joita IoT-valmistajien on noudatettava, ovat todennäköisesti linjassa eurooppalaisen kyberturvallisuusstandardin kanssa kuluttajien esineiden Internetissä (ETSI EN 303 645).

"Tämä sisältää oletussalasanojen kieltämisen, suojattujen päivitysten toteuttamisen, arkaluontoisten tietojen suojaamisen, suojatun viestinnän varmistamisen ja hyökkäyspintojen minimoimisen", hän kertoo ISMS.online-sivustolle. "Kuten vastaavat säädökset Australiassa, kuten Regulatory Compliance Mark (RCM) elektronisille laitteille, nämä määräykset tulevat haastamaan ulkomaan suoramyynti, erityisesti Temun ja AliExpressin aikakaudella."

Black Duckin vanhempi johtaja Kelvin Lim lisää, että australialaisten organisaatioiden tulisi myös olla valmiita ottamaan käyttöön pakolliset tapahtumaraportointiprotokollat ​​"ja tekemään tiivistä yhteistyötä Australian Cyber ​​Security Centerin kanssa".

KnowBe4:n Malik korostaa jatkuvan seurannan ja raportoinnin tärkeyttä.

"Ota tavaksi suorittaa säännöllisiä auditointeja ja varmistustarkastuksia varmistaaksesi, että kaikki turvatarkastukset toimivat jatkuvasti suunnitellulla ja tarkoitetulla tavalla", hän väittää. "Tämä ei ole vain oman turvallisuutesi vuoksi, vaan myös sääntelyviranomaisten eduksi, jotka tarkastelevat organisaatioita tarkemmin uusien vaatimusten valossa."

Parhaat käytännöt voivat auttaa

Hyvä uutinen on, että turvallisuusstandardien ja -kehysten, kuten ISO 27001, noudattaminen voi auttaa organisaatioita luomaan vankan perustan tulevan lainsäädännön noudattamiselle, olipa sen lopullinen muoto mikä tahansa.

"Australialaiset yritykset luottavat yhä enemmän digitaalisiin järjestelmiin mainostaakseen ja myydäkseen tuotteitaan ja palvelujaan, mikä tekee kyberturvallisuudesta välttämätöntä jokaiselle yritykselle", Phosphorus Cybersecurityn alueellinen APJ:n teknologiajohtaja Alex Nehmy kertoo ISMS.onlinelle. "Parhaiden käytäntöjen kyberturvallisuusstandardit ja -kehykset auttavat australialaisia ​​yrityksiä parantamaan kyberturva-asentoaan ja vähentämään vakavan tapahtuman, kuten kiristysohjelman, todennäköisyyttä."

Airlock Digitalin Schell menee pidemmälle.

"Standardit, kuten ISO 27001 ja NIST, auttavat organisaatioita hallinnossa ja tietoturvan hallintajärjestelmän (ISMS) toiminnassa", hän sanoo. "Hyvää ISMS:ää käyttävillä kypsillä organisaatioilla on käytössään tapauskohtaisia ​​reagointikäytäntöjä ja pelikirjoja sekä niitä tukevat rekisterit, kuten lailliset vaatimukset, ja ne pystyvät integroimaan sääntelymuutokset nykyisiin prosesseihinsa jäsennellyllä tavalla."

Uuden sukupolven vaatimustenmukaisuusohjelmistotoimittajien ansiosta tällaisten standardien vaatimusten täyttäminen ei ole enää yhtä aikaa – ja resursseja vaativaa kuin ennen. Kansainvälisesti tunnustettuja puitteita noudattamalla australialaiset organisaatiot voivat edetä pitkälle täyttääkseen velvoitteensa muilla aloilla, kuten GDPR:n ja erilaisten alan säädösten noudattamisessa. Sillä välin monet seuraavat tarkasti kyberturvallisuuslain lopullista tekstiä.

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!