2023年03月08日,星期三
澳大利亞推出新基礎設施風險管理計畫,以保護民眾免受網路和物理攻擊:
澳大利亞聯邦內政部推出新的關鍵基礎設施風險管理計畫,旨在防止並保護一線服務免受網路和內部攻擊。根據新規則,企業和政府必須向聯邦機構提供年度風險管理報告,關鍵基礎設施的董事會和董事將被要求承擔更多責任,以保護澳大利亞人免受網路和物理攻擊。
澳大利亞聯邦內政部長Clare O’Neil稱,政府還將推出一個新的關鍵基礎設施復原戰略,該戰略最近一次更新是在2015年,新戰略將為各部門和特定關鍵基礎設施資產的基準風險管理制定監管框架。“它是對網路、物理、供應鏈和內部攻擊所帶來的威脅的回應”,她說,“這些惡意行為者試圖破壞澳大利亞的基礎服務,削弱我們的經濟並利用受害者牟利”。政府更嚴格的關鍵基礎設施制度將影響到在能源、資源、電信、金融、資料存儲、醫院、食品和雜貨、水、貨運和廣播領域經營資產的公司和各級政府。
根據新規則,監督關鍵基礎設施資產的董事會、理事會和其他管理機構必須批准向包括內政部在內的聯邦監管機構提交年度風險管理報告。政府還可以對不遵守規定的公司發出履約禁令或可執行的承諾,不遵守新制度的公司將面臨每天1.05萬澳元的民事處罰,“最佳實踐”系統旨在加強聯邦政府機構和私營部門之間的合作。
O’Neil表示,澳大利亞必須確保“關鍵基礎設施的安全安排與不斷變化的威脅環境保持同步,並繼續提供我們都依賴的基礎服務”。她說,“關鍵基礎設施日益相互關聯的性質暴露了可能導致對我們的安全、經濟和主權造成重大後果的漏洞。保護澳大利亞關鍵基礎設施的最佳方式是通過企業和政府之間的密切合作,建立一個利用所有各方的專業知識並反映威脅的複雜性和不斷變化的性質的聯盟”。
根據關鍵基礎設施風險管理規則要求,運營商識別、預防和減輕資料、供應鏈和運營的風險。由內政部網路和基礎設施安全中心監督的關鍵基礎設施制度,要求公司建立、維護和遵守書面風險管理計畫,以管理“危險”的影響。經營者在確定可能影響其關鍵基礎設施資產的可用性、完整性、可靠性和保密性的威脅時,必須做好應對”全面危害”的準備。風險管理計畫必須解決實質性的風險,包括停工、失去對資產的訪問或干擾,以及損害資訊和電腦資料的可用性、完整性、可靠性和保密性的相關影響。主要危害包括物理安全、自然災害、可能破壞資產的關鍵工作人員造成的內部風險、對數位系統、電腦、資料集和網路的網路威脅,以及對關鍵供應鏈的破壞。
此前,澳大利亞信號局(ASD)旗下澳大利亞網路安全中心(ACSC)表示,全澳四分之一的網路安全事件報告涉及基礎服務。對關鍵基礎設施的網路攻擊在疫情期間飆升並持續升級,主要針對澳大利亞的老年護理設施、水供應商、醫院、食品批發商、教育機構、電信公司、政府部門和議會、保健供應商和運輸運營商。
澳大利亞公司董事協會(AICD)和網路安全合作研究中心(CSCRC)去年10月發佈新的治理原則,以説明公司加強網路安全風險管理戰略。與政府、行業專家和公司董事協商後制定的董事會治理原則被確定為“角色和責任、網路戰略發展和演變、將網路納入風險管理、建立網路彈性文化以及準備和應對重大網路事件”。風險信號包括網路風險戰略沒有被列入董事會議程,董事對網路風險缺乏足夠的瞭解,公司對網路安全沒有明確的管理責任,以及沒有從外部審查網路風險戰略。
(來源:泛澳資本)
最新評論