Labor-plan zou minister van Binnenlandse Zaken bevoegdheden geven over kritieke infrastructuur tijdens cyberaanvallen | Cybercrime


Cybercriminaliteit

Clare O’Neil publiceert consultatiedocument over nieuwe cyberbeveiligingswetgeving, waarin wijzigingen worden voorgesteld in de Wet beveiliging kritieke infrastructuur

Tue 19 Dec 2023 10.07 CET

De minister van Binnenlandse Zaken van Australië zou kritieke infrastructuur zoals energie-, transport- of communicatie-entiteiten kunnen bevelen om actie te ondernemen of te staken tijdens een significante cyberbeveiligingssituatie, onder wijzigingen voorgesteld door de federale regering.

In aanverwante veranderingen die worden aangekondigd als een reactie op de incidenten met Optus en Medibank in 2022, zou de minister bedrijven ook kunnen opdragen om persoonlijke documenten te vervangen die bij een datalek zijn gecompromitteerd, of om klantgegevens te delen met banken in een poging om verdere fraude te voorkomen.

De minister van Binnenlandse Zaken en Cyberveiligheid, Clare O’Neil, heeft dinsdag een consultatiedocument vrijgegeven over voorgestelde nieuwe cyberbeveiligingswetgeving en voorgestelde wijzigingen in de Security of Critical Infrastructure Act 2018, waarin verder wordt ingegaan op kwesties die naar voren zijn gekomen met de vrijgave van de cyberbeveiligingsstrategie van de overheid vorige maand.

Het document schetst de overweging van de regering om verplichte beveiligingsnormen in te voeren voor apparaten zoals slimme tv’s, horloges en babyfoons, evenals regels die meer bedrijven kunnen dwingen om cyberaanvallen of afpersing te melden.

In het document staat dat de regering “mogelijkheden heeft geïdentificeerd om de wetten op het gebied van cyberbeveiliging te versterken”, waarbij tal van verwijzingen worden gemaakt naar grootschalige cyberincidenten in de afgelopen tijd.

Het departement merkte bij het vrijgeven van het document op dat recente incidenten hadden “aangetoond dat bedrijven vaak moeilijkheden ondervinden om effectief te reageren op de nasleep van cyberaanvallen.”

Het document merkt op dat deze bedrijven beperkt waren in het delen van informatie met banken over getroffen klanten om fraude te voorkomen en dat de overheid “niet voldoende bevoegdheden had om hen te sturen om actie te ondernemen”. Het stelt ook dat de overheid “geen bevoegdheden heeft om de industrie te ondersteunen met gevolgenbeheer na een incident”.

Volgens een van de voorstellen zou de minister van Binnenlandse Zaken krachtens de Security of Critical Infrastructure Act 2018 bevoegdheden krijgen om “een entiteit voor kritieke infrastructuur opdracht te geven iets te doen of te verbieden iets te doen om de gevolgen van een incident te voorkomen of te beperken, zoals een opdracht om problemen ter plaatse aan te pakken of de exploitatie op te schorten”.

De voorgestelde wijzigingen zouden de minister ook de bevoegdheid geven om de openbaarmaking van beschermde informatie toe te staan om het delen van informatie mogelijk te maken, om “informatie te verzamelen ten behoeve van gevolgenbeheersing”.

Deze bevoegdheden zouden bijvoorbeeld kunnen worden gebruikt om bedrijven die te maken hebben gehad met een datalek, op te dragen een deel van die gegevens te delen met financiële instellingen om verdere fraude of diefstal door criminelen die toegang hebben gekregen tot de blootgelegde informatie, te helpen voorkomen. Die actie zou anders, in sommige omstandigheden, een inbreuk zijn op de privacywetgeving – waarbij de voorgestelde wetgeving zou fungeren als een schild van aansprakelijkheid voor het bedrijf dat de gegevens deelt.

Het document merkt op dat dit een “laatste redmiddel” zou zijn en dat alle andere relevante bevoegdheden uitgeput moeten zijn voordat deze bevoegdheid kan worden gebruikt. Er wordt opgemerkt dat, bijvoorbeeld, amendementen op de Privacy Act de procureur-generaal al in staat zouden stellen om het delen van persoonlijke gegevens tussen entiteiten toe te staan; de voorgestelde bevoegdheid voor de minister van Binnenlandse Zaken zou worden gebruikt als een entiteit niet bereid of in staat was om de gegevens te delen.

Met dezelfde bevoegdheid zou de minister een entiteit kunnen opdragen om documenten die door het incident zijn aangetast te vervangen. Door recente datalekken proberen veel klanten persoonlijke identificatie zoals paspoorten te vervangen. De federale overheid heeft Optus publiekelijk onder druk gezet om de kosten voor het vervangen van paspoorten te dekken, een verzoek dat het bedrijf later heeft ingewilligd.

Los daarvan worden in de discussienota ook kwesties aan de orde gesteld rond het “internet der dingen” of slimme apparaten, en wordt gewezen op de mogelijkheid van een verplichte beveiligingsnorm voor deze gadgets om deze in overeenstemming te brengen met internationale benchmarks.

Er wordt gewezen op een Britse norm die van toepassing is op smartphones, tv’s, speelgoed, babyfoons, fitnesstrackers, koelkasten en thuisassistenten die verbinding kunnen maken met het internet.

Het document bespreekt ook de mogelijkheid dat meer bedrijven verplicht worden om te melden wanneer ze het doelwit zijn van ransomware of cyberafpersing.

Het document gaat verder met het bespreken van andere mogelijke gebieden voor hervorming, waaronder de manier waarop agentschappen zoals het machtige Australische Directoraat Signalen informatie zouden kunnen gebruiken die ze ontvangen door middel van cyberbeveiligingsonderzoeken.

De raadpleging sluit op 1 maart 2024.



Source link

Internet Blabla

Internet blabla, probeert de beste cyber security content op het internet te verzamelen en in een overzichtelijk geheel te presenteren. Er zijn meerdere artikelen die aangeleverd worden door lezers en cyber security bedrijven, daarnaast zijn er een aantal bloggers en journalisten actief met het plaatsen van actuele cyber security vraagstukken.