Предприятия, имеющие сети и системы «национального значения», будут вынуждены раскрывать информацию о них по запросу в соответствии с предлагаемыми изменениями в законах о критической инфраструктуре.
Министерство внутренних дел в среду начало месячные общественные консультации по предложенной “расширенной нормативной базе” для критической инфраструктуры и систем национального значения, изложенной в стратегии кибербезопасности 2020 года на прошлой неделе.
В рамках этой системы будут введены новые правила кибербезопасности, варьирующиеся по степени серьезности по трем группам: «системы национального значения», «регулируемые объекты критической инфраструктуры» и «объекты критической инфраструктуры».
В настоящее время электроэнергия, газ, вода и портовые предприятия регулируются Законом о безопасности критической инфраструктуры.
В соответствии с реформами банковское дело, здравоохранение, образование, продовольствие и “данные и облако” будут признаны важнейшими секторами инфраструктуры и могут быть подвергнуты системным правилам раскрытия информации.
Однако предлагаемые реформы не будут касаться правительства и демократических институтов.
В консультативном документе указывается, что правительство работает над “определением наиболее подходящих механизмов для обеспечения того, чтобы правительства придерживались тех же стандартов”.
Владельцы и операторы систем национального значения будут подвергнуты жесткому набору правил, который включает в себя “усиленные обязательства по кибербезопасности”.
Министерство внутренних дел будет использовать эту консультацию для определения того, какие объекты критической инфраструктуры управляют системами национального значения, рассматривая “потенциальный эффект домино, если эта функция будет скомпрометирована”, и последствия этого компромисса.
Ожидается, что эти обязательства первоначально будут заключаться в том, что правительство будет запрашивать “информацию о субъектах” у владельцев и операторов систем национального значения на добровольной основе в целях содействия информированию о ситуации.
Эта информация будет использоваться для проверки и создания “возможностей для облегчения обмена информацией с соответствующими владельцами и операторами — будь то промышленность или правительство” — для создания “картины угроз в реальном времени”.
“Картина угроз почти в реальном времени, включая разведывательные данные и тенденции, позволит владельцам и операторам систем национального значения принимать надлежащие и своевременные меры в отношении своих собственных систем”, — говорится в консультативном документе [pdf].
“Это также даст правительству общую картину угроз и всестороннее понимание рисков для критической инфраструктуры. Это позволит лучше информировать как проактивные, так и реактивные варианты кибер — реагирования.”
Правительство также предложило обязать владельцев и операторов систем национального значения “предоставлять информацию о сетях и системах, чтобы внести свой вклад в эту картину угрозы, если потребуется” в долгосрочной перспективе.
Хотя правительство не уточнило, какие виды информации будут запрашиваться, это, по-видимому, является эволюцией ИТ-требований, предъявляемых к электроэнергетическим, газовым, водным и портовым предприятиям.
“Когда запрос будет выдан, он будет включать в себя формат, в котором требуется информация (вплоть до почти реального времени), а также определенные временные рамки для работы с правительством по предоставлению информации”,-говорится в консультативном документе.
“В настоящее время мы не ожидаем, что всем владельцам и операторам систем национального значения будет предложено предоставить такую информацию.”
Правительство также ожидает, что владельцы и операторы систем национального значения будут участвовать в регулярных мероприятиях по кибербезопасности вместе с правительством, вероятно, включая игры в кибервойну, и в “совместной разработке плана действий по целому ряду сценариев”.
Позитивное обеспечительное обязательство
В дополнение к “усиленным обязательствам по кибербезопасности” владельцы и операторы систем национального значения, а также объекты критической инфраструктуры, регулируемые Законом о безопасности критической инфраструктуры, также будут подлежать позитивному обязательству безопасности (PSO).
ПСО будет “устанавливать и обеспечивать базовую защиту от всех опасностей для критической инфраструктуры и систем, реализуемую с помощью отраслевых стандартов, пропорциональных риску”.
Правительство планирует сделать это, опираясь на ряд существующих механизмов, которые уже существуют в различных организациях для управления рисками, “чтобы обеспечить более последовательный подход к управлению рисками во всех секторах”.
“Мы хотим работать с субъектами критической инфраструктуры, чтобы четко определить принципы высокого уровня, секторально-агностические принципы, которые лягут в основу ПСО”, — говорится в консультативном документе.
“Мы считаем, что, как минимум, владельцы и операторы критической инфраструктуры должны быть юридически обязаны управлять рисками, которые могут повлиять на непрерывность бизнеса и экономику Австралии, безопасность и суверенитет.”
Некоторые из ожиданий PSO будут включать в себя организации, “применяющие подход всех опасностей при определении риска”, имеющие “соответствующие меры по снижению рисков для управления выявленными рисками” и имеющие возможность как можно быстрее оправиться от кибер-инцидента.
Правительство также предложило, чтобы эти рамки “четко определяли в законодательстве обязательства высокого уровня, которые должны выполнять субъекты критической инфраструктуры”, в том числе в области физической, кибербезопасности, кадровой безопасности и безопасности цепочек поставок.
Несоблюдение ПСО может привести к тому, что субъекты, подвергнутые принудительным мерам со стороны правительства, будут включать “разумные запросы о доступе к информации и полномочиям на инспекцию и аудит” или штрафные санкции.
Правительственная киберпомощь
Последний компонент структуры даст австралийским киберпугам возможность защищать сети и системы всех трех классов объектов критической инфраструктуры в чрезвычайной ситуации, даже если их помощь не будет запрошена.
Это включает в себя банковский и финансовый секторы, связь, данные и облачные технологии, оборонную промышленность, образование, исследования и инновации, энергетику, продовольствие и бакалею, здравоохранение, космос, транспорт и водоснабжение.
Хотя правительство заявило, что в целом оно будет полагаться на эти структуры в “принятии активных мер”, могут возникнуть сценарии, требующие участия правительства.
“Критически важные объекты инфраструктуры могут столкнуться с ситуациями, когда существует неминуемая киберугроза или инцидент, который может существенно повлиять на экономику, безопасность или суверенитет Австралии, и эта угроза находится в пределах их возможностей для устранения”, — говорится в консультативном документе.
“В этих случаях мы предлагаем, чтобы правительство могло предоставить субъектам разумные, соразмерные и чувствительные ко времени направления для обеспечения принятия мер по минимизации их воздействия.
“Субъекты могут также иметь возможность обратиться к правительству с просьбой дать такое указание, предоставив им законные полномочия для проведения любых необходимых действий.”
В случае “непосредственной и серьезной киберугрозы экономике, безопасности или суверенитету Австралии (включая угрозу жизни)” правительство сможет объявить чрезвычайное положение и принять прямые меры.
“В чрезвычайной ситуации мы видим роль правительства в том, чтобы использовать свою расширенную картину угроз и уникальные возможности для принятия прямых мер по защите критически важного объекта инфраструктуры или системы в национальных интересах”, — говорится в консультативном документе.
“Эти полномочия будут осуществляться с соответствующими иммунитетами и ограничиваться надежной системой сдержек и противовесов.
“Основная цель этих полномочий состояла бы в том, чтобы позволить правительству помогать организациям принимать технические меры для защиты и защиты своих сетей и систем, а также предоставлять консультации по смягчению ущерба, восстановлению услуг и восстановлению.
“Ожидается, что элемент государственной помощи в рамках этой системы будет в основном осуществляться на добровольной основе, поскольку субъекты также захотят оперативно восстановить свои функции.
“Однако могут быть случаи, когда субъекты не желают работать с правительством для своевременного восстановления систем.
“Правительство должно иметь четкую и недвусмысленную правовую основу, на которой можно действовать в национальных интересах и поддерживать непрерывность любых зависимых основных услуг.”