Microsoft, AWS, Telstra, Cisco и Salesforce с тревогой отреагировали на перспективу прямого административного вмешательства австралийских властей для противодействия угрозам кибербезопасности в отношении определенных клиентов.
Законопроекты, предложенные Министерством внутренних дел, включают в себя полномочия по оказанию государственной помощи “в крайнем случае”, которые в “исключительных обстоятельствах” позволили бы правительству вмешаться в особо угрожающий сценарий нападения.
Полномочия широки: они позволяют правительству устанавливать программы, “получать доступ, добавлять, восстанавливать, копировать, изменять или удалять данные”, изменять “функционирование” аппаратного обеспечения или полностью удалять его из помещений, говорится в опубликованном сегодня проекте законопроекта.
Еще до того, как увидеть специфику, операторы облачных систем и центров обработки данных выразили обеспокоенность тем, что эти “усиленные обязательства по кибербезопасности” могут нарушить их собственные операции мониторинга и защиты и поставить их в неловкое положение, поскольку их клиент, скорее всего, станет объектом атаки и поэтому лучше всего сможет определить ее серьезность.
Оператор Azure Microsoft призвал к большему количеству сдержек и противовесов, прежде чем будет разрешено вмешательство правительства, опасаясь, что оно может быть втянуто в инцидент, в котором оно не является прямой целью.
“Хотя мы признаем, что могут существовать чрезвычайные сценарии, когда правительство может рассмотреть необходимость прямых действий с операторами критической инфраструктуры, мы считаем, что такие действия должны происходить только в крайнем случае, в рамках системы, включающей надежные сдержки и противовесы, а также Омбудсмена Содружества, действующего от имени частного сектора, который отражает интересы и риски осуществления таких действий”, — говорится в заявлении. [PDF-файл]
“Использование таких полномочий должно быть подчинено значительному порогу, ограничено по времени и требовать независимого разрешения.
“В тех редких случаях, когда министерское руководство оправдано, мы рекомендуем сузить его, применив к обстоятельствам, в которых пробелы в возможностях защиты и отражения киберугроз были продемонстрированы в ходе совместных учений по обеспечению готовности между правительством и частным сектором.
“Мы также рекомендуем, чтобы такие прямые действия ограничивались защитными действиями по реагированию на угрозы и не были уполномочены проводить или принуждать частные организации участвовать в кибератаках из сетей операторов критической инфраструктуры или их поставщиков услуг.”
Salesforce заявила, что клиенты и поставщики услуг должны сохранять “гибкость” для непосредственного реагирования на угрозы.
“Чрезвычайные обстоятельства, которые потребовали бы чрезвычайных полномочий правительства, должны быть тщательно определены, чтобы установить полную ясность и взаимные ожидания в отношении стандартов, ответственности и процедур, которые применяются”, — говорится в нем. [PDF-файл]
“На высоком уровне хорошо продумана многоуровневая система, которая устанавливает повышенные обязательства и расширенное сотрудничество для систем национального значения, представляющих наибольший риск, и поможет сосредоточить внимание и ресурсы там, где они наиболее необходимы.
“Однако критерии и процесс, с помощью которых такие системы будут назначаться, должны быть более четкими.
“Salesforce настоятельно призывает к большему прояснению этих вопросов, а также к тесным консультациям с промышленностью при определении обозначений и категорий.”
Cisco заявила, что остается неясным, как австралийское правительство может обеспечить целенаправленное вмешательство в инфраструктуру, которая работает в нескольких географических регионах.
“Должна быть система сдержек и противовесов для любой правительственной помощи и особенно для полномочий, связанных с вмешательством”,-сказал Циско. [PDF-файл]
“Без определенной операционной модели того, как будет работать этап процесса, трудно определить необходимые сдержки и противовесы.
“Пока неясно, какое влияние могут оказать полномочия правительства по оказанию помощи на деятельность компаний, которые либо не имеют штаб-квартиры в Австралии, либо работают на оффшорных рынках.
“Например, Cisco предоставляет стандартизированное оборудование и услуги по всему миру и не изменяет оборудование или услуги.
“Точно так же в модели многопользовательского публичного облака, распространенной среди облачных провайдеров IaaS, PaaS и SaaS, соответствующие команды операций и безопасности не только защищают … юридические лица, а также другие австралийские и зарубежные организации.
“Вступающие в силу полномочия в такой среде должны быть осведомлены о проблемах, правах и правовых механизмах несвязанных субъектов во всем мире.”
Телстра сказал, что любой шаг к власти должен оставаться совместным, а не полным поглощением.
“Мы считаем, что даже при объявлении чрезвычайной ситуации подход правительства к оказанию помощи должен быть совместным и зарезервированным для ограниченных и уникальных обстоятельств”, — сказал Телстра. [PDF-файл]
“Подход должен основываться не на мнении о том, что правительство имеет больше возможностей для принятия мер, а скорее на том, что правительство требуется из-за неспособности субъекта принять такие меры.
“Мы также рекомендуем правительству предпринять разумные шаги, чтобы договориться с субъектом о временном ограничении использования им полномочий на принятие прямых мер и чтобы осуществление этих полномочий подлежало независимому разрешению.”
Amazon Web Services (AWS), тем временем, беспокоился, что полномочия будут слишком широкими и — как Cisco и Telstra — что отсутствие ограждений и правил взаимодействия может отодвинуть его — или его клиента — в критический момент.
“Мы обеспокоены тем, что предложение о правительственной” помощи » или «вмешательстве» может дать правительству чрезмерно широкие полномочия издавать указания или действовать автономно», — сказал АВС. [PDF-файл]
“Хотя мы еще не видели законопроект, краткое изложение этих полномочий на высоком уровне предполагает, что они могут быть значительными и осуществимыми в широких слоях общества, с неясными ограничениями или ограждениями.
“Мы обеспокоены тем, что полномочия правительства принимать прямые меры в случае чрезвычайной ситуации расплывчаты и неопределенны; что правительство может использовать эти новые полномочия либо для выдачи указаний, либо для принятия автономных мер практически для чего угодно в ответ на угрозы кибербезопасности.
“Неясно, являются ли: триггеры для осуществления таких полномочий объективными и конкретными; будет ли правительство объективно оценивать, улучшат ли его указания или помощь ситуацию; что субъект может или не может быть направлен делать или не делать; какие сдержки и противовесы будут применяться; и имеет ли субъект право на пересмотр и апелляцию.”
