2023年03月08日,星期三
澳大利亚推出新基础设施风险管理计划,以保护民众免受网络和物理攻击:
澳大利亚联邦内政部推出新的关键基础设施风险管理计划,旨在防止并保护一线服务免受网络和内部攻击。根据新规则,企业和政府必须向联邦机构提供年度风险管理报告,关键基础设施的董事会和董事将被要求承担更多责任,以保护澳大利亚人免受网络和物理攻击。
澳大利亚联邦内政部长Clare O’Neil称,政府还将推出一个新的关键基础设施复原战略,该战略最近一次更新是在2015年,新战略将为各部门和特定关键基础设施资产的基准风险管理制定监管框架。“它是对网络、物理、供应链和内部攻击所带来的威胁的回应”,她说,“这些恶意行为者试图破坏澳大利亚的基础服务,削弱我们的经济并利用受害者牟利”。政府更严格的关键基础设施制度将影响到在能源、资源、电信、金融、数据存储、医院、食品和杂货、水、货运和广播领域经营资产的公司和各级政府。
根据新规则,监督关键基础设施资产的董事会、理事会和其他管理机构必须批准向包括内政部在内的联邦监管机构提交年度风险管理报告。政府还可以对不遵守规定的公司发出履约禁令或可执行的承诺,不遵守新制度的公司将面临每天1.05万澳元的民事处罚,“最佳实践”系统旨在加强联邦政府机构和私营部门之间的合作。
O’Neil表示,澳大利亚必须确保“关键基础设施的安全安排与不断变化的威胁环境保持同步,并继续提供我们都依赖的基础服务”。她说,“关键基础设施日益相互关联的性质暴露了可能导致对我们的安全、经济和主权造成重大后果的漏洞。保护澳大利亚关键基础设施的最佳方式是通过企业和政府之间的密切合作,建立一个利用所有各方的专业知识并反映威胁的复杂性和不断变化的性质的联盟”。
根据关键基础设施风险管理规则要求,运营商识别、预防和减轻数据、供应链和运营的风险。由内政部网络和基础设施安全中心监督的关键基础设施制度,要求公司建立、维护和遵守书面风险管理计划,以管理“危险”的影响。经营者在确定可能影响其关键基础设施资产的可用性、完整性、可靠性和保密性的威胁时,必须做好应对”全面危害”的准备。风险管理计划必须解决实质性的风险,包括停工、失去对资产的访问或干扰,以及损害信息和计算机数据的可用性、完整性、可靠性和保密性的相关影响。主要危害包括物理安全、自然灾害、可能破坏资产的关键工作人员造成的内部风险、对数字系统、计算机、数据集和网络的网络威胁,以及对关键供应链的破坏。
此前,澳大利亚信号局(ASD)旗下澳大利亚网络安全中心(ACSC)表示,全澳四分之一的网络安全事件报告涉及基础服务。对关键基础设施的网络攻击在疫情期间飙升并持续升级,主要针对澳大利亚的老年护理设施、水供应商、医院、食品批发商、教育机构、电信公司、政府部门和议会、保健供应商和运输运营商。
澳大利亚公司董事协会(AICD)和网络安全合作研究中心(CSCRC)去年10月发布新的治理原则,以帮助公司加强网络安全风险管理战略。与政府、行业专家和公司董事协商后制定的董事会治理原则被确定为“角色和责任、网络战略发展和演变、将网络纳入风险管理、建立网络弹性文化以及准备和应对重大网络事件”。风险信号包括网络风险战略没有被列入董事会议程,董事对网络风险缺乏足够的了解,公司对网络安全没有明确的管理责任,以及没有从外部审查网络风险战略。
(来源:泛澳资本)
最新评论