techrepublic

Австралия принимает новаторский закон о кибербезопасности для повышения устойчивости

27 ноября 2024 г.

Австралия приняла свой первый в истории Закон о кибербезопасности 25 ноября, введя различные меры по укреплению обороны страны. Среди его ключевых положений — требование, чтобы организации сообщали правительству, если они платят преступникам, занимающимся программами-вымогателями, — практика, которая получила широкое распространение во всем мире.

Закон о кибербезопасности следует за Стратегией кибербезопасности Австралии на 2023–2030 годы. Стратегия, призванная позиционировать Австралию как лидера в области киберустойчивости, предвосхитила несколько мер в законе, включая создание Национального координатора по кибербезопасности для надзора за сплоченным национальным киберответом.

В пресс-релизе министр кибербезопасности Австралии Тони Берк заявил, что этот закон является «ключевой опорой нашей миссии по защите австралийцев от киберугроз» и что он «формирует целостный законодательный инструментарий, позволяющий Австралии двигаться вперед с ясностью и уверенностью перед лицом постоянно меняющегося киберландшафта».

Эксперты настоятельно призвали руководителей ИТ-отделов и служб безопасности обновить свои планы реагирования на инциденты кибербезопасности с учетом изменений в законодательстве, которые могут потребовать от них новых способов взаимодействия с правительством в условиях запутанной ситуации, связанной с кибератакой или кризисом.

Как новый закон Австралии о кибербезопасности повлияет на организации?

Два основных изменения, влияющих на австралийские организации, — это введение обязательного обязательства сообщать о любых платежах за вымогательство и новый режим добровольной отчетности о киберинцидентах.

Обязательная отчетность о платежах за вымогательство

Правительство потребует от организаций определенного размера сообщать о платежах за вымогательство. Хотя порог размера еще не определен, местная австралийская юридическая фирма Corrs Chambers Westgarth заявила, что этот мандат, скорее всего, будет применяться к предприятиям с оборотом свыше 3 миллионов австралийских долларов.

Отчеты должны быть направлены в Министерство внутренних дел и Австралийское управление сигналов в течение 72 часов с момента платежа за вымогательство. Если организации не сообщат о таких платежах, им может быть предъявлен гражданский штраф, который, по словам Коррса, в настоящее время оценивается в 93 900 австралийских долларов.

СМ.: Тревожное состояние утечек данных в Австралии в 2024 году

Corrs отмечает, что, несмотря на новое обязательство, политика правительства по-прежнему заключается в том, что организации не должны платить выкупы. Правительство считает, что выплата выкупов только подпитывает бизнес-модель киберпреступных банд — и нет никаких гарантий, что организации действительно восстановят свои данные или сохранят их конфиденциальность.

Добровольное сообщение о новых киберинцидентах

Новый закон запустил новую структуру для добровольного сообщения о киберинцидентах. Мера призвана поощрять более свободный обмен информацией, когда стороны подвергаются кибератаке, чтобы другие организации частного и государственного секторов, а также сообщество могли извлечь выгоду.

Под надзором NCSC любая организация, ведущая бизнес в Австралии, может сообщать об инцидентах, будучи в некоторой степени защищенной обязательством «ограниченного использования», ограничивающим то, что NCSC может делать с информацией.

Например, сообщение о существенном инциденте в сфере кибербезопасности позволит NCSC, в соответствии с законом, использовать эту информацию в целях, в том числе предотвращения или снижения рисков для критически важной инфраструктуры или национальной безопасности, а также для поддержки разведывательных или правоохранительных органов, сказал Коррс.

Дополнительные меры, включенные в новые законы Австралии

На специалистов в области ИТ и безопасности повлияют и другие меры, включенные в законодательный пакет.

Безопасность устройств Интернета вещей в центре внимания

Правительство Австралии теперь будет иметь полномочия обеспечивать соблюдение стандартов безопасности для любых устройств Интернета вещей. Как только эти стандарты будут закреплены в законодательных правилах, любые мировые поставщики должны будут их соблюдать, если они хотят продолжать поставлять продукцию на австралийский рынок, объяснил Коррс.

Совет по рассмотрению киберинцидентов

Значительные киберинциденты в Австралии теперь, скорее всего, будут рассматриваться недавно созданным Советом по рассмотрению киберинцидентов. CIRB будет проводить проверки без вины и после инцидента, предоставлять рекомендации и иметь полномочия принуждать организации предоставлять информацию.

Другое законодательство о кибербезопасности

Закон о кибербезопасности является частью более широкого законодательного пакета, включающего обновления Закона Австралии о безопасности критически важной инфраструктуры 2019 года. Закон SOCI был обновлен, чтобы классифицировать системы хранения данных, содержащие критически важные для бизнеса данные, как критически важные инфраструктурные активы, а также внести другие изменения.

ИТ-отделам и службам безопасности настоятельно рекомендуется пересмотреть планы реагирования на киберинциденты

ИТ-отделам и группам безопасности следует пересмотреть свои планы реагирования на инциденты кибербезопасности и внести в них изменения, где это необходимо. Это позволит учесть новые обязательные обязательства по отчетности о платежах за вымогательство и взаимодействие с Национальным координатором по кибербезопасности.

СМОТРЕТЬ: Правительство Австралии предлагает ввести обязательные ограждения для ИИ

Новые нормативные обязательства потребуют от организаций корректировки своих планов для обеспечения соответствия. Директора по информационной безопасности и группы безопасности будут играть ключевую роль в корректировке планов и интеграции этих изменений в будущие учения по кибербезопасности. Коррс отметил, что толчком для организации к сообщению о платеже за вымогательство является сам платеж, а не получение требования об оплате. Это повлияет как на то, как организации управляют этими киберрешениями, так и на то, когда они решат сообщать о них.

У организаций также могут быть пересекающиеся требования к отчетности с разными сроками в соответствии с законами Австралии о конфиденциальности и Законом SOCI, если они являются критически важными инфраструктурными компаниями, в дополнение к постоянным обязательствам по раскрытию информации, если они котируются на Австралийской фондовой бирже.

Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться
Подпишитесь на рассылку Daily Tech Insider AU Оставайтесь в курсе последних технологических новинок с Daily Tech Insider Australian Edition. Мы представляем вам новости о ведущих компаниях, продуктах и ​​людях в отрасли, а также избранные статьи, загрузки и лучшие ресурсы. Вы будете получать руководства по горячим технологическим темам, которые наиболее актуальны для рынков Австралии, что поможет вам оставаться впереди. Доставка по четвергам Адрес электронной почты Подписываясь на нашу рассылку, вы соглашаетесь с нашими Условиями использования и Политикой конфиденциальности. Вы можете отписаться в любое время. Подписаться
Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE