העולם הדיגיטלי הוא מקום מסוכן יותר ויותר עבור ארגונים אוסטרליים. שורה של פרצות נתונים בפרופיל גבוה והתקפות תוכנות כופר במהלך השנים האחרונות, שחיקה את אמון הלקוחות בשירותים מקוונים - שלא לדבר על הכספים והמוניטין של החברה.
למרות שרוב ההתקפות הללו היו ממניעים פיננסיים, דו"ח חדש של מיקרוסופט מראה שהקווים בין פשע רשת ואיומים של מדינות לאום הולכים ומטשטשים. המשמעות היא שאירועים כאלה זוכים יותר ויותר להתייחסות כעניין של ביטחון לאומי.
כל אלה מסבירים את העמדה היזומה של הממשל האלבני. ראשון הגיע ה 2023-2030 אסטרטגיית אבטחת סייבר באוסטרליה, אשר קובעת מפת דרכים לאוסטרליה להפוך ל"מנהיגה עולמית" בתחום עד שנת 2030. ועכשיו, סעיף חקיקה ציון דרך מציב את אבטחת הסייבר כמפתח להגנה על ביטחון לאומי ויציבות כלכלית. למרות שהפרטים עדיין נמצאים בפיתוח, טוב יעשו מנהיגי IT ואבטחה אוסטרלים אם יתחילו לתכנן.
מה כתוב בחקיקה החדשה?
חוק אבטחת הסייבר אינו חסר שאפתנות. בתור החלק העצמאי הראשון של אוסטרליה של חקיקת אבטחת סייבר, היא מבטיחה ליישם שבע יוזמות מפתח המפורטות באסטרטגיית אבטחת הסייבר הנ"ל. על פי ה המחלקה לענייני פנים, החוק נועד לסתום "פערים חקיקתיים" ולהגן על עתיד את "סביבת הסייבר" והתשתית הקריטית (CNI) של המדינה, תוך התמקדות בדברים הבאים:
- תקני אבטחת סייבר חדשים למכשירים חכמים כדי לבסס קו בסיס של אבטחה משופרת לצרכנים, כולל סיסמאות ייחודיות, עדכונים שוטפים והצפנת נתונים
- דיווח חובה על תשלומי כופר (עבור כמה סוגי עסקים לא מוגדרים) כדי לעזור לרשויות להבין טוב יותר את היקף הבעיה
- חובת "שימוש מוגבל" עבור מתאם אבטחת הסייבר הלאומי ומנהל האותות האוסטרלי (ASD) אשר תגביל את האופן שבו גופים אלה משתמשים במידע המשותף איתם על ידי ארגוני קורבנות. המטרה הסופית כאן היא לעודד יותר דיווחים
- מועצת סקירת תקריות סייבר חדשה שתבצע חקירות "ללא אשמה" בעקבות תקריות חמורות ותשתף תובנות אנונימיות בפומבי
חוק אבטחת הסייבר גם יקדם ויישם רפורמות המפורטות בחוק אבטחת תשתיות קריטיות 2018 (חוק SOCI). אלה מיועדים ל:
- הבהרת חובות לארגונים המחזיקים בנתונים קריטיים לעסקים
- שפר את הסיוע הממשלתי כדי להפחית את ההשפעה של אירועים המשפיעים על CNI
- פשט את שיתוף המידע בין התעשייה והממשלה
- אפשרו לממשלה לכפות על גופי CNI לטפל בליקויים חמורים בניהול סיכונים
- התאם את הרגולציה לאבטחת סייבר טלקומוניקציה לחוק SOCI
מה עסקים אוסטרלים יכולים לעשות עכשיו
במחצית השנייה של 483 היו 2023 הודעות על פרצות נתונים, עלייה של 19% מהחלק הראשון של השנה. על פי ה משרד נציב המידע האוסטרלי (OAIC), הרוב המכריע (67%) נגרם מהתקפות זדוניות או פליליות. רמות איום גבוהות כאלה גרמו למחוקקים לנקוט בפעולה מלכתחילה, והם צריכים להזכיר כל הזמן לדירקטוריונים שיש לנהל סיכונים כאלה בצורה הוליסטית יותר.
בעוד שחוק אבטחת הסייבר טרם הושלם, על פי מומחים איתם שוחח ISMS.online, יש הרבה שארגונים אוסטרליים יכולים לעשות כעת כדי להתכונן למנדטים שלהם. זה נכון במיוחד לגבי יצרני מכשירים חכמים.
"ליצרנים למטה - וכמעט בכל מקום - זה זמן טוב להסתכל על נוהלי האבטחה הנוכחיים, לבדוק היכן יש פערים או אזורים לשיפור ולהקים תוכניות כדי להתאים אותם לדרישות החדשות", מובילה KnowBe4 מודעות האבטחה עו"ד, אומר ג'ווווד מאליק ל-ISMS.online.
"יצרנים של מכשירים חכמים צריכים להיות בעלי חשיבה 'מאובטח לפי עיצוב' שבו אבטחה מוטבעת במוצרים מרגע שהם מתוכננים ומתוכננים ולעולם לא כמחשבה שלאחר מכן".
דניאל של, מייסד שותף ו-CTO של Airlock Digital, צופה שהסטנדרטים בסופו של דבר שיצרני ה-IoT יצטרכו לעקוב אחריהם יהיו מתאימים לתקן האירופאי לאבטחת סייבר לצרכן באינטרנט של הדברים (ETSI EN 303 645).
"זה כולל בקרות לאיסור סיסמאות ברירת מחדל, הטמעת עדכונים מאובטחים, הגנה על נתונים רגישים, הבטחת תקשורת מאובטחת ומזעור משטחי תקיפה", הוא אומר ל-ISMS.online. "כמו תקנות דומות באוסטרליה, כגון תקנות תאימות (RCM) עבור ציוד אלקטרוני, תקנות אלה יהיו מאותגרות על ידי מכירות ישירות בחו"ל, במיוחד בעידן של Temu ו-AliExpress."
המנהל הבכיר של Black Duck, קלווין לים, מוסיף כי גם ארגונים אוסטרליים צריכים להיות מוכנים לבסס פרוטוקולי דיווח חובה על תקריות "ולעבוד בשיתוף פעולה הדוק עם מרכז אבטחת הסייבר האוסטרלי".
Malik של KnowBe4 מדגיש את החשיבות של ניטור ודיווח מתמשכים.
"עשו לעצמכם הרגל לערוך ביקורות וסקירות הבטחה קבועות כדי להבטיח שכל בקרות האבטחה פועלות כמתוכנן ומתוכנן באופן שוטף", הוא טוען. "זה לא רק לביטחון שלך, אלא גם לטובת הרגולטורים שיבדקו ארגונים יותר מקרוב לאור הדרישות החדשות".
תקני שיטות עבודה מומלצות יכולים לעזור
החדשות הטובות הן שהקפדה על תקני אבטחה ומסגרות כמו ISO 27001 יכולה לעזור לארגונים ליצור בסיס איתן לעמידה בחקיקה הנכנסת, לא משנה מה צורתה הסופית.
"חברות אוסטרליות מסתמכות יותר ויותר על מערכות דיגיטליות כדי לפרסם ולמכור את המוצרים והשירותים שלהן, מה שהופך את אבטחת הסייבר לחיוני עבור כל עסק", אומר ל-ISMS.online, CTO האזורי של Phosphorus Cybersecurity עבור APJ, אלכס נהמי. "תקני אבטחת סייבר ומסגרות מומלצות עוזרות לחברות אוסטרליות לשפר את עמדת אבטחת הסייבר שלהן ולהפחית את הסבירות לחוות תקרית חמורה כמו תוכנת כופר."
Schell של Airlock Digital הולכת רחוק יותר.
"סטנדרטים כמו ISO 27001 ו-NIST עוזרים לארגונים בממשל ובתפעול של מערכת ניהול אבטחת המידע שלהם (ISMS)", הוא אומר. "לארגונים בוגרים המפעילים מערכת ISMS בריאה יהיו מדיניות ותגובה לאירועים וספרי הפעלה, יחד עם רישומים תומכים כמו הדרישות החוקיות שלהם, ויוכלו לשלב שינויים רגולטוריים בתהליכים הנוכחיים שלהם בצורה מובנית."
הודות לספקי תוכנות תאימות מהדור הבא, עמידה בדרישות של סטנדרטים כאלה כבר אינה כה זמן - ועתיר משאבים כפי שהיה פעם. על ידי מעקב אחר מסגרות מוכרות בינלאומיות, ארגונים אוסטרליים יכולים גם לעבור דרך ארוכה למילוי התחייבויותיהם בתחומים אחרים, כמו ציות ל-GDPR ותקנות תעשייתיות שונות. בינתיים, רבים ישמרו מקרוב על הנוסח הסופי של חוק אבטחת הסייבר.
