wat jy moet weet oor die nuwe Australiese kuberveiligheidswet-banier

Wat jy moet weet oor die New Australia Cyber ​​Security Act

Die digitale wêreld is 'n toenemend gevaarlike plek vir Australiese organisasies. 'n String hoëprofiel-data-oortredings en losprysware-aanvalle oor die afgelope paar jaar het die vertroue van kliënte in aanlyndienste geërodeer - om nie eens te praat van korporatiewe finansies en reputasies nie.

Al was die meeste van hierdie aanvalle finansieel gemotiveerd, toon 'n nuwe Microsoft-verslag dat die lyne tussen kubermisdaad en bedreigings van die nasionale staat vervaag word. Dit beteken dat sulke voorvalle toenemend as 'n saak van nasionale veiligheid hanteer word.

Dit alles verduidelik die proaktiewe standpunt wat die Albanese administrasie ingeneem het. Eers het die 2023-2030 Australiese kuberveiligheidstrategie, wat 'n padkaart uiteensit vir Australië om 'n "wêreldleier" op die gebied te word teen 2030. En nou, 'n landmerk-stuk wetgewing posisioneer kuberveiligheid as die sleutel tot die beskerming van nasionale veiligheid en ekonomiese stabiliteit. Alhoewel die besonderhede nog gefinaliseer word, sal Australiese IT- en sekuriteitsleiers goed doen om te begin beplan.

Wat is in die nuwe wetgewing?

Die Wet op Kuberveiligheid kort nie ambisie nie. As Australië se eerste selfstandige stuk kuberveiligheidswetgewing, beloof dit om sewe sleutelinisiatiewe te implementeer wat in die voorgenoemde kuberveiligheidstrategie uiteengesit word. Volgens die Departement van Binnelandse Sake, is die wet ontwerp om “wetgewende gapings” toe te stop en die land se “kuberomgewing” en kritieke infrastruktuur (CNI) toekoms te verseker, met die fokus op die volgende:

  • Nuwe kuberveiligheidstandaarde vir slimtoestelle om 'n basislyn van verbeterde sekuriteit vir verbruikers daar te stel, insluitend unieke wagwoorde, gereelde opdaterings en data-enkripsie
  • Verpligte rapportering van ransomware-betalings (vir sommige ongespesifiseerde besigheidstipes) om die owerhede te help om die omvang van die probleem beter te verstaan
  • 'n "Beperkte gebruik" verpligting vir die Nasionale Kuberveiligheidskoördineerder en die Australiese Seinedirektoraat (ASD) wat sal beperk hoe hierdie liggame inligting gebruik wat deur slagofferorganisasies met hulle gedeel word. Die einddoel hier is om meer verslaggewing aan te moedig
  • 'n Nuwe kuberinsident-hersieningsraad wat "geen-fout"-ondersoeke sal doen na ernstige voorvalle en anonieme insigte in die openbaar sal deel

Die Wet op Kubersekuriteit sal ook hervormings bevorder en implementeer soos uiteengesit in die Wet op Sekuriteit van Kritieke Infrastruktuur 2018 (SOCI-wet). Hierdie is ontwerp om:

  • Verduidelik verpligtinge vir organisasies wat besigheidskritiese data hou
  • Verbeter regeringsbystand om die impak van voorvalle wat CNI raak te versag
  • Vereenvoudig die deel van inligting oor die industrie en die regering
  • Stel die regering in staat om CNI-entiteite te dwing om ernstige risikobestuurstekorte aan te spreek
  • Belyn regulasie vir telekommunikasie-kubersekuriteit in die SOCI-wet

Wat Australiese besighede nou kan doen

Daar was 483 data-oortredingkennisgewings in die tweede helfte van 2023, 19% meer as die eerste deel van die jaar. Volgens die Kantoor van die Australiese Inligtingskommissaris (OAIC), is die oorgrote meerderheid (67%) deur kwaadwillige of kriminele aanvalle veroorsaak. Sulke verhoogde bedreigingsvlakke het wetgewers in die eerste plek aangespoor om op te tree, en hulle moet direksies voortdurend daaraan herinner dat sulke risiko's op 'n meer holistiese wyse bestuur moet word.

Alhoewel die Wet op Kuberveiligheid nog gefinaliseer moet word, is daar volgens kenners waarmee ISMS.online gepraat het, baie wat Australiese organisasies nou kan doen om voor te berei vir sy mandate. Dit is veral waar van slimtoestelvervaardigers.

"Vir vervaardigers down under - en feitlik oral - is dit nou 'n goeie tyd om na huidige sekuriteitspraktyke te kyk, na te gaan waar daar enige leemtes of areas vir verbetering is en planne in plek te stel om dit in lyn te bring met die nuwe vereistes," KnowBe4 lei sekuriteitsbewustheid advokaat, Javvad Malik vertel ISMS.online.

"Vervaardigers van slimtoestelle moet 'n 'veilig deur ontwerp'-ingesteldheid hê waar sekuriteit in die produkte gebak word vanaf die oomblik dat dit beplan en ontwerp word en nooit as 'n vasgeboude nagedagte nie."

Daniel Schell, medestigter en CTO van Airlock Digital, voorspel dat die uiteindelike standaarde wat IoT-vervaardigers sal moet volg, waarskynlik in lyn sal wees met die Europese Standaard Kubersekuriteit vir Verbruikers Internet van Dinge (ETSI EN 303 645).

"Dit sluit kontroles in om verstekwagwoorde te verbied, veilige opdaterings te implementeer, sensitiewe data te beskerm, veilige kommunikasie te verseker en aanvalsoppervlaktes te minimaliseer," sê hy aan ISMS.online. "Soos soortgelyke regulasies in Australië, soos Regulatory Compliance Mark (RCM) vir elektroniese toerusting, sal hierdie regulasies uitgedaag word deur regstreekse oorsese verkope, veral in die ouderdom van Temu en AliExpress."

Kelvin Lim, senior direkteur van Black Duck, voeg by dat Australiese organisasies ook bereid moet wees om verpligte protokolle vir aanmelding van voorval in te stel "en nou saam te werk met die Australiese kuberveiligheidsentrum."

KnowBe4 se Malik beklemtoon die belangrikheid van deurlopende monitering en verslagdoening.

"Maak dit 'n gewoonte om gereelde oudits en gerusstellingsoorsigte uit te voer om te verseker dat alle sekuriteitskontroles op 'n deurlopende basis werk soos ontwerp en bedoel," voer hy aan. “Dit is nie net vir jou eie veiligheid nie, maar ook tot voordeel van reguleerders wat organisasies van naderby sal ondersoek in die lig van die nuwe vereistes.”

Beste Praktykstandaarde kan help

Die goeie nuus is dat die navolging van sekuriteitstandaarde en -raamwerke soos ISO 27001 organisasies kan help om 'n stewige grondslag te skep vir voldoening aan die inkomende wetgewing, ongeag die finale vorm daarvan.

"Australiese maatskappye maak toenemend staat op digitale stelsels om hul produkte en dienste te adverteer en te verkoop, wat kuberveiligheid noodsaaklik maak vir elke besigheid," sê Phosphorus Cybersecurity se streeks-CTO vir APJ, Alex Nehmy, aan ISMS.online. "Beste praktyk kubersekuriteitstandaarde en -raamwerke help Australiese maatskappye om hul kubersekuriteitsposisie te verbeter en die waarskynlikheid te verminder om 'n ernstige voorval soos losprysware te ervaar."

Airlock Digital se Schell gaan verder.

"Standaarde soos ISO 27001 en NIST help organisasies met bestuur en die werking van hul inligtingsekuriteitbestuurstelsel (ISMS)," sê hy. "Volwasse organisasies wat 'n gesonde ISMS bedryf, sal insidentreaksiebeleide en speelboeke in plek hê, tesame met ondersteunende registers soos hul wetlike vereistes, en sal regulatoriese veranderinge op 'n gestruktureerde wyse in hul huidige prosesse kan integreer."

Danksy die volgende generasie-nakomingsagtewareverskaffers is dit nie meer so tyd-en hulpbron-intensief om aan die vereistes van sulke standaarde te voldoen soos dit eens was nie. Deur internasionaal erkende raamwerke te volg, kan Australiese organisasies ook 'n lang pad gaan om hul verpligtinge op ander gebiede na te kom, soos nakoming van GDPR en verskeie industrieregulasies. Baie sal intussen die voltooide teks van die Kuberveiligheidswet fyn dophou.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!