Chevron Australia выразила “оговорки” по поводу правительственного толчка к новым полномочиям по утверждению контроля в ответ на инцидент с кибербезопасностью.
Как сообщило вчера агентство ITnews, уже сейчас широко распространена тревога в связи с перспективой вмешательства правительства в реагирование на инциденты и его способностью как взять под контроль, так и устранить угрозу, особенно если цель имеет региональную или глобальную инфраструктуру и операции.
Согласно предлагаемым законам, правительство может устанавливать программы, “получать доступ, добавлять, восстанавливать, копировать, изменять или удалять данные”, изменять “функционирование” оборудования или полностью удалять его из помещений.
Chevron — крупный производитель сжиженного природного газа — заявила, что у нее есть “оговорки относительно того, что правительство в одностороннем порядке возьмет на себя ответные меры на кибер-инцидент.”
“Существует риск повреждения систем управления технологическими процессами, но существует также вероятность того, что атака может быть ограничена не только критической инфраструктурой Австралии”, — написала менеджер информационных систем Энни Чи в своем заявлении [pdf] в Министерство внутренних дел.
“Chevron предоставляет энергетические услуги по всему миру, и вполне возможно, что противник может начать глобальную атаку.
“Ответ на такую глобальную атаку должен быть скоординирован между системами компании, поэтому политика, которая позволила бы правительству в одностороннем порядке взять на себя ответные меры в Австралии, исключила бы скоординированный ответ по всей компании и могла бы удлинить фактическое восстановление услуг.”
Chevron заявила, что пока неясно, сможет ли австралийское правительство устранить угрозу в полном объеме.
“Например, ответ австралийского правительства может уничтожить злоумышленника в системах Chevron Australia, но злоумышленник все еще может сохраниться в других системах Chevron в других странах и может возобновить атаку на Австралию”, — писал Чи.
“Неясно, сможет ли австралийское правительство обратиться к системам Chevron в других странах.”
Chevron заявила, что “концепция правительства, объявляющего чрезвычайное положение и принимающего на себя ответные меры [по инциденту кибербезопасности], является необычной.”
“Регулирование критической инфраструктуры в США, например, не имеет такой концепции”, — писал Чи.
“Критически важные инфраструктурные компании обязаны защищать свою собственную окружающую среду. Государственные ресурсы доступны для оказания помощи, но только на добровольной основе.
“Правительство может взять на себя реагирование на инцидент в компании, но только в том случае, если правительство попросило компанию проработать инцидент.”
Chevron заявила, что она должна сохранить полный контроль над реагированием на инциденты, поскольку ее собственный оперативный центр безопасности и команда лучше всего подходят для разработки ответных мер.
“[Наша] точка зрения заключается в том, что частная промышленность должна по-прежнему нести главную ответственность за реагирование на кибератаки и защиту корпоративных активов”, — писал Чи.
“Правительство может помочь в обмене информацией о последних угрозах, чтобы корпорации могли быть лучше подготовлены, а также поддерживать службы реагирования, которые могут быть добровольно вызваны корпорацией в случае необходимости.”
