Некоторые федеральные правительственные системы и сети будут классифицированы как критическая инфраструктура наряду с национально значимыми системами частного сектора, сообщил глава МВД Майк Пеццулло.
Пеццулло подтвердил во время вебинара, организованного компанией кибербезопасности CyberCX в пятницу, что запланированные изменения в законах о критической инфраструктуре также распространятся на некоторые правительственные системы.
“Определенные активы и сети внутри правительства будут обозначены как критическая инфраструктура, поэтому они также смогут активно защищаться Австралийским управлением сигналов”, — сказал он.
Это первое признание того, что правительство будет признано в качестве важнейшего сектора инфраструктуры, хотя пока неизвестно, будут ли применяться те же правила, которые навязываются частным структурам.
Важнейшие инфраструктурные полномочия, которые являются центральным элементом стратегии кибербезопасности 2020 года, направлены на повышение безопасности и устойчивости систем и обеспечение защиты сетей.
В прошлом месяце Министерство внутренних дел опубликовало консультационный документ с подробным описанием предлагаемой им “расширенной нормативной базы” для критической инфраструктуры и систем национального значения.
Эти рамки расширят определение критической инфраструктуры за пределы электроэнергетики, газа, воды и портовых предприятий, охватываемых Законом о безопасности критической инфраструктуры, на другие секторы, включая банковское дело, здравоохранение, образование и продовольствие.
В ожидании принятия поправок к Закону и совместной разработки отраслевых стандартов правительство ожидает, что новые обязательства по кибербезопасности вступят в силу в середине 2021 года.
Но в списке секторов, к которым будут применяться предлагаемые реформы, нет упоминания о правительстве, несмотря на то, что оно опережает критическую инфраструктуру по количеству зарегистрированных инцидентов кибербезопасности.
Вместо этого в консультативном документе говорилось, что правительство работает над “определением наиболее подходящих механизмов для обеспечения того, чтобы правительства придерживались тех же стандартов”.
На вопрос бывшего советника по национальной кибербезопасности и главного стратега CyberCX Аластера Макгиббона о том, почему правительство не появилось в списке, Пеццулло ответил: “так и будет”.
Безопасные правительственные центры
Пеццулло также далее изложил план правительства в стратегии кибербезопасности 2020 года по созданию серии “безопасных узлов” для сокращения числа сетей, на которые могут нацелиться враждебные субъекты.
“Мы стремимся консолидировать, по крайней мере, поверхность атаки, чтобы лучше защитить ее с более плотными, меньшими концентраторами, чтобы более крупные игроки … могли сформировать защищенную среду, которая … обеспечивает более жесткую внешнюю оболочку”, — сказал он.
“Это, конечно, не отменяет другой работы, которую вы должны сделать, чтобы получить защиту вплоть до конечной точки, вплоть до устройства, а также до человеческих практик, которые … в некоторых случаях более важны.”
Он сказал, что более крупные агентства хорошо подходят для руководства этой работой, поскольку они “обладают глубиной, навыками, ресурсами, [и] в некоторых случаях имеют возможность подключения к ASD в режиме реального времени, что может обеспечить использование этой картины угрозы … которая уникальна для сигнального органа”.
В то время как правительство еще не определилось с количеством хабов, Пеццулло сказал, что они, как ожидается, “резко сократят” количество существующих хабов и периметров по всему правительству.
Он отметил, что это будет выходить за рамки консолидации интернет-шлюзов, как это делало правительство в течение десятилетия с помощью своей схемы безопасных интернет-шлюзов в соответствии со стратегией кибербезопасности 2009 года.
“Это также будет связано с укреплением защиты кибербезопасности. Консолидация шлюзов-необходимый, но недостаточный элемент стратегии хаба кибербезопасности, поэтому она гораздо сложнее шлюзов”, — сказал он.
Пеццулло сказал, что цифровая группа Совета секретарей, возглавляемая секретарем Департамента социальных служб Кэтрин Кэмпбелл, в настоящее время стремится проработать вопросы, связанные с разработкой “единой стратегии центра кибербезопасности” до конца финансового года.
“Мы нанесем на карту все известные уязвимости, и где мы должны разместить местную защиту и местные датчики для защиты вплоть до конечной точки известных уязвимостей, и как мы укрепляем эту внешнюю оболочку”, — сказал он.
Пеццулло сказал, что он ожидает, что это приведет к реорганизации того, как кибербезопасность взаимодействует с другими областями государственных ИТ.
“Я думаю, что операционная модель для федерального правительственного киберпространства должна будет измениться, потому что … вы не можете просто поместить это в коробку под названием cyber, а затем иметь свои сетевые операции, свою архитектуру, развертывание приложений и обновления здесь”, — сказал он.
“Итак, как главные информационные офицеры работают с главными офицерами информационной безопасности и как все это работает в более агрегированном виде-это то, над чем мы работаем.”
