hvad du behøver at vide om det nye australske cybersikkerhedslovbanner

Hvad du behøver at vide om New Australia Cyber ​​Security Act

Den digitale verden er et stadig farligere sted for australske organisationer. En række højprofilerede databrud og ransomware-angreb i løbet af de sidste par år har eroderet kundernes tillid til onlinetjenester – for ikke at nævne virksomhedernes økonomi og omdømme.

Selvom de fleste af disse angreb var økonomisk motiverede, viser en ny Microsoft-rapport, at grænserne mellem cyberkriminalitet og nationalstatstrusler er ved at blive udvisket. Det betyder, at sådanne hændelser i stigende grad bliver behandlet som et spørgsmål om national sikkerhed.

Alt dette forklarer den proaktive holdning fra den albanske administration. Først kom 2023-2030 australsk cybersikkerhedsstrategi, som udstikker en køreplan for, at Australien kan blive "verdensleder" på området i 2030. Og nu placerer et skelsættende stykke lovgivning cybersikkerhed som nøglen til at beskytte national sikkerhed og økonomisk stabilitet. Selvom detaljerne stadig er ved at blive færdiggjort, vil australske it- og sikkerhedsledere gøre klogt i at begynde at planlægge.

Hvad står der i den nye lovgivning?

Cybersikkerhedsloven mangler ikke ambitioner. Som Australiens første selvstændige stykke cybersikkerhedslovgivning lover det at implementere syv nøgleinitiativer, der er skitseret i den førnævnte Cybersikkerhedsstrategi. Ifølge Institut for indenrigsanliggender, loven er designet til at lukke "lovgivende huller" og fremtidssikre landets "cybermiljø" og kritiske infrastruktur (CNI), med fokus på følgende:

  • Nye cybersikkerhedsstandarder for smarte enheder for at etablere en baseline af forbedret sikkerhed for forbrugere, herunder unikke adgangskoder, regelmæssige opdateringer og datakryptering
  • Obligatorisk rapportering af ransomware-betalinger (for nogle uspecificerede virksomhedstyper) for at hjælpe myndighederne med bedre at forstå problemets omfang
  • En "begrænset brug"-forpligtelse for den nationale cybersikkerhedskoordinator og det australske signaldirektorat (ASD), som vil begrænse, hvordan disse organer bruger information, der deles med dem af offerorganisationer. Det endelige mål her er at tilskynde til mere rapportering
  • Et nyt Cyber ​​Incident Review Board, som vil udføre "no-fault" undersøgelser efter alvorlige hændelser og offentligt dele anonymiseret indsigt

Cybersikkerhedsloven vil også fremme og implementere reformer, der er skitseret i loven om sikkerhed af kritisk infrastruktur 2018 (SOCI-loven). Disse er designet til at:

  • Tydeliggør forpligtelser for organisationer, der har forretningskritiske data
  • Forbedre den offentlige bistand for at afbøde virkningen af ​​hændelser, der påvirker CNI
  • Forenkle informationsdeling på tværs af industri og regering
  • Gør det muligt for regeringen at tvinge CNI-enheder til at løse alvorlige risikostyringsmangler
  • Tilpas reguleringen af ​​telekommunikationscybersikkerhed til SOCI-loven

Hvad australske virksomheder kan gøre nu

Der var 483 meddelelser om databrud i andet halvår af 2023, en stigning på 19 % fra første del af året. Ifølge Office of the Australian Information Commissioner (OAIC), var langt de fleste (67%) forårsaget af ondsindede eller kriminelle angreb. Sådanne forhøjede trusselsniveauer fik lovgiverne til at handle i første omgang, og de bør konstant minde bestyrelser om, at sådanne risici skal håndteres på en mere holistisk måde.

Mens cybersikkerhedsloven endnu ikke er færdiggjort, er der ifølge eksperter, ISMS.online talte med, masser, som australske organisationer kan gøre nu for at forberede sig på deres mandater. Dette gælder især for producenter af smartenheder.

"For producenter down under - og stort set overalt - er det nu et godt tidspunkt at se på nuværende sikkerhedspraksis, gennemgå, hvor der er huller eller områder til forbedringer og lægge planer for at tilpasse dem til de nye krav," leder KnowBe4 sikkerhedsbevidsthed advokat, fortæller Javvad Malik til ISMS.online.

"Producenter af smarte enheder bør have en 'secure by design'-tankegang, hvor sikkerhed er indbygget i produkterne fra det øjeblik, de er planlagt og designet, og aldrig som en påboltet eftertanke."

Daniel Schell, medstifter og CTO for Airlock Digital, forudser, at de eventuelle standarder, som IoT-producenter bliver nødt til at følge, sandsynligvis vil blive tilpasset den europæiske standard Cyber ​​Security for Consumer Internet of Things (ETSI EN 303 645).

"Dette inkluderer kontroller til at forbyde standardadgangskoder, implementere sikre opdateringer, beskytte følsomme data, sikre sikker kommunikation og minimere angrebsoverflader," siger han til ISMS.online. "Som lignende regler i Australien, såsom Regulatory Compliance Mark (RCM) for elektronisk udstyr, vil disse regler blive udfordret af direkte salg i udlandet, især i Temu og AliExpress-tiden."

Black Duck seniordirektør Kelvin Lim tilføjer, at australske organisationer også bør være parate til at etablere obligatoriske hændelsesrapporteringsprotokoller "og arbejde tæt sammen med det australske cybersikkerhedscenter."

KnowBe4s Malik fremhæver vigtigheden af ​​kontinuerlig overvågning og rapportering.

"Gør det til en vane at udføre regelmæssige audits og assurance reviews for at sikre, at alle sikkerhedskontroller fungerer som designet og tilsigtet løbende," argumenterer han. "Dette er ikke kun for din egen sikkerhed, men også til gavn for regulatorer, som vil granske organisationer nærmere i lyset af de nye krav."

Standarder for bedste praksis kan hjælpe

Den gode nyhed er, at det at følge sikkerhedsstandarder og rammer som ISO 27001 kan hjælpe organisationer med at skabe et solidt grundlag for overholdelse af den indkommende lovgivning, uanset dens endelige form.

"Australske virksomheder er i stigende grad afhængige af digitale systemer til at annoncere og sælge deres produkter og tjenester, hvilket gør cybersikkerhed afgørende for enhver virksomhed," siger Phosphorus Cybersecurity regional CTO for APJ, Alex Nehmy, til ISMS.online. "Bedste praksis cybersikkerhedsstandarder og -rammer hjælper australske virksomheder med at forbedre deres cybersikkerhedsposition og reducere sandsynligheden for at opleve en alvorlig hændelse såsom ransomware."

Airlock Digitals Schell går videre.

"Standarder som ISO 27001 og NIST hjælper organisationer med styring og drift af deres Information Security Management System (ISMS)," siger han. "Modne organisationer, der driver et sundt ISMS, vil have hændelsesreaktionspolitikker og playbooks på plads, sammen med understøttende registre såsom deres juridiske krav, og vil være i stand til at integrere regulatoriske ændringer i deres nuværende processer på en struktureret måde."

Takket være næste generations compliance-softwareudbydere er det ikke længere så tids- og ressourcekrævende at opfylde kravene i sådanne standarder, som det engang var. Ved at følge internationalt anerkendte rammer kan australske organisationer også nå langt for at opfylde deres forpligtelser på andre områder, såsom overholdelse af GDPR og diverse branchebestemmelser. I mellemtiden vil mange holde godt øje med den endelige tekst til Cybersikkerhedsloven.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!