Avustralya hükümeti, ülkeyi sarsan bir dizi zararlı yüksek profilli veri ihlalinin ardından siber güvenlik yasalarını ve düzenlemelerini yenileme planları yapıyor.
Hükümet yetkilileri geçtiğimiz günlerde, ülkeyi 2030 yılına kadar siber güvenlik alanında dünya lideri olarak konumlandırmaya yönelik strateji olarak adlandırdığı strateji için belirli önerilerin ana hatlarını çizdiği ve özel sektörden girdi talep eden sözde bir istişare belgesi yayınladı.
Avustralyalı yasa koyucular, mevcut siber suç yasalarındaki boşlukları gidermenin yanı sıra, ülkenin Kritik Altyapı Güvenliği (SOCI) Yasası 2018’i tehdit önleme, bilgi paylaşımı ve siber olaylara müdahale konularına daha fazla vurgu yapacak şekilde değiştirmeyi umuyor.
Avustralya’nın siber olaylara müdahalesindeki zayıflıklar, Eylül 2022’de telekomünikasyon sağlayıcısı Optus’a düzenlenen siber saldırıda ortaya çıktı ve ardından Ekim ayında bir siber saldırı gerçekleşti. Sağlık sigortası sağlayıcısı Medibank’a fidye yazılımı tabanlı saldırı.
Ehliyetlerdeki biyometrik veriler ve pasaport fotoğrafları da dahil olmak üzere milyonlarca hassas kayıt, daha sonra açığa çıktı Saldırganlar Optus veritabanını ele geçirdi tüketici kayıtlarını içeren; the Medibank ihlali Milyonlarca hastanın sağlık kaydı açığa çıktı.
Qualys Avustralya ve Yeni Zelanda’nın baş teknik güvenlik sorumlusu Richard Sorosina, “Her iki ihlal de temel hatalardan ve zayıf siber hijyenden kaynaklandı, dolayısıyla önlenebilirdi” diyor.
Avustralya’nın siber dayanıklılığı Kasım 2023’te acı verici bir incelemeye tabi tutuldu. ülke çapındaki kesinti, Optus’un sabit hat ve mobil müşterilerini İnternet erişiminden mahrum bıraktı. Kesintinin nedeni Sınır Ağ Geçidi Protokolü (BGP) yönlendirme tablosu güncellemesindeki bir sorundu.
Ardından günler sonra denizcilik sektörüne büyük bir siber saldırı geldi. Dört Avustralya limanında uzun süreli aksamalar.
Siber Strateji Reformu
Optus, Medibank ve ülkenin limanlarına yapılan siber saldırılar, vatandaşları ve işletmeleri etkileyen, oldukça kamuya açık olaylardı ve bu da siber güvenliği ülkenin siyasi gündeminde üst sıralara taşıdı. Buna yanıt olarak Avustralya hükümeti siber güvenlik stratejisini revize etti ve uygulamaya koydu. danışma süreci Yasal ve düzenleyici reformlar hakkında.
Avustralya Siber Güvenlik Bakanı Clare O’Neil, bir açıklamada söyledi hükümetin “Avustralya’nın siber güvenliğini ve dayanıklılığını artırmak için yeni bir kamu-özel sektör ortaklığı dönemi” başlatmak üzere özel sektörle birlikte çalışmaya kararlı olduğunu söyledi.
Avustralya’nın önerilen yeni siber güvenlik mevzuatı, Nesnelerin İnterneti (IoT) cihazları için tasarım gereği güvenli standartların zorunlu kılınması, fidye yazılımı raporlama kuralının oluşturulması, olayla ilgili bilgi paylaşımı için “sınırlı kullanım” yükümlülüğünün oluşturulması ve ulusal Siber Olay İnceleme Kurulu.
Gündemde ayrıca, son ihlallerin ortaya çıkardığı siber güvenlik eksikliklerini gidermeye yönelik Kritik Altyapı Güvenliği Yasası 2018’de yapılacak reformlar da yer alıyor.
Bu revizyonlar arasında kamu hizmetleri ve telekomünikasyon gibi kritik sektörler için daha kuralcı rehberlik sağlanması, bilgi paylaşımının basitleştirilmesi, risk yönetimi programları için direktifler sağlanması ve SOCI Yasası kapsamında telekomünikasyon sektörü için güvenlik gereksinimlerinin birleştirilmesi yer alıyor. Kritik altyapı için.
Bugcrowd’un kurucusu, başkanı ve baş strateji sorumlusu Casey Ellis, Avustralya hükümetinin doğru hamleler yaptığını söylüyor. ” [Cyber Security Strategy] istişare belgesi, Avustralya politikasının kesinlikle yumuşak olduğu alanlar olan IoT güvenliği, fidye yazılımı raporlaması, olay paylaşımı ve kritik altyapı yönetimi, raporlama ve hesap verebilirliği ele alıyor” diyor Ellis.
Büyük Ülke, Büyük Siber Güvenlik Zorlukları
Avustralya’nın büyüklüğü ve genişliği, özellikle madencilik gibi oldukça dağınık ve uzak konumlardaki sahalara sahip stratejik endüstriler için kritik altyapının korunmasını zorlaştırıyor.
Bu arada madencilik, denizcilik ve diğer kamu hizmetleri eski teknolojileri bırakıyor ve altyapılarını daha verimli bir şekilde yönetmek ve izlemek için İnternet bağlantılı ve IoT teknolojilerini benimsiyor. Ancak dijital dönüşümün bu şekilde benimsenmesi, çoğu zaman eski ekipmanların siber tehditlere maruz kalmasına neden oluyor.
“Avustralya limanlarına yapılan saldırılar gibi saldırıların yaygın bir olay yerine izole kalmasını sağlamak için hükümet, haklı olarak Kritik Ulusal Altyapı Politikasının nasıl yasalaştırılacağını araştırıyor ve artan saldırı yüzeylerinin nasıl korunacağı konusunda diğer ülkelerden ders almasını istiyor. Fiziksel bir siber güvenlik girişimi olan Goldlock’un CISO’su Shane Read, “BT/OT yakınlaşmasının dışındayız” diyor.
Ancak Avustralya, bu işi tek başına yapabilecek ölçek ve nüfusa sahip değil; dolayısıyla bağımsız uzmanlara göre mümkün olan her yerde bilinen, küresel standartlara başvurmak mantıklı.
Qualys’ten Sorosina, “Avustralya, siber güvenlik politikası söz konusu olduğunda rehberlik için İngiltere/ABD/AB’ye başvurdu” diyor.
Diğer birçok ülke gibi Avustralya da siber güvenlik becerileri açığını kapatmaya çalışıyor.
Synopsys Software Integrity Group’un APAC çözüm başkanı Phillip Ivancic, ekonominin büyüklüğüne göre nüfusun küçük olması nedeniyle Avustralya’da “vasıflı mühendis ve siber güvenlik uzmanı konusunda büyük bir eksiklik” bulunduğunu söylüyor.
Ivancic, “Bu nedenle hükümetin daha kuralcı olma ve gerçek standartlara dayalı rehberlik sağlama ve aynı zamanda talimatlar yoluyla değişimi zorlama yönündeki hamlesi memnuniyetle karşılanmalıdır.” diyor. “Tek başımıza yola çıkacak ölçeğe sahip değiliz ve halihazırda yaygın olarak kullanılan uluslararası standartları zorunlu kılmak doğru yaklaşımdır.”
Ivancic’e göre hükümetin politika teklifleri, uygulamaları oluşturan bileşenlerin listelendiği yazılım malzeme listeleri gibi yazılım tedarik zincirleri etrafındaki kontroller gibi temel unsurlardan yoksun. Bunun “göze çarpan bir boşluk” olduğunu söylüyor.
Büyük Siber Güvenlik Yatırımları
Siber güvenlikli bir ulus olmanın yolu yalnızca hükümetlerin sorumluluğunda değildir. Avustralya’daki özel sektör, siber güvenlik uygulamalarını iyileştirme konusunda kendi çıkarlarının bilincinde olarak, bilgi güvenliği uygulamalarının iyileştirilmesine de büyük yatırımlar yapıyor.
Avustralyalı kuruluşlar, 2024 yılında bilgi güvenliği ve risk yönetimi ürün ve hizmetlerine 7,3 milyar AU$’dan fazla harcayacak; bu, 2023’e kıyasla %11,5 artış anlamına geliyor. Gartner’a göre. Bulut güvenliği, 248 milyon A$’a (yıllık bazda %26,9 artış) yükselerek en büyük artışı yaşayacak.
Gartner’a göre harcamalardaki artış, yüksek profilli siber saldırılar ve artan düzenleyici yükümlülüklerin birleşiminden kaynaklanıyor.
BugCrowd’dan Ellis, Avustralya’nın siber güvenlik lideri olma çabasının ulaşılabilir olduğuna inanıyor. “Avustralya her zaman yenilikçilerin ve kuralları çiğneyenlerin ülkesi olmuştur ve siber güvenlikte dünya lideri olma hedefinin her ne kadar iddialı olsa da ulaşılabilir bir hedef olduğuna inanıyorum.”