Asuntos Internos quiere ampliar los requisitos de notificación de la reforma de seguridad de las telecomunicaciones


Bajo las Reformas de Seguridad del Sector de Telecomunicaciones de Australia (TSSR), todos los operadores y proveedores de servicios de transporte designados (C / NCSP) deben informar al Coordinador de Paso a las Comunicaciones (CAC) de los cambios propuestos a sus sistemas o servicios de telecomunicaciones si se enteran de cualquier cambio propuesto. que probablemente tengan un «propósito material desfavorable» en su capacidad para cumplir con las obligaciones de seguridad.

Al 30 de junio de 2020, el Sección del Interior había recibido un total de 66 notificaciones. Dijo al Comité Parlamentario Conjunto de Inteligencia y Seguridad (PJCIS) que las notificaciones recibidas de los operadores hasta la época representan la gran mayoría del mercado de telecomunicaciones de semirrecta fija y móvil en Australia.

En su sumisión [PDF] Al PJCIS, Asuntos Internos sugirió tipos adicionales de avisos «con un estilo más matizado» para reflectar varios niveles y tipos de aventura y la aprieto de adoptar más mitigaciones.

Ver además: La frustración de la nueva organización de ciberseguridad de Australia

«Asuntos Internos señala que ha habido algunas variaciones entre los C / NCSP en su enfoque de la obligación de notificación de TSSR. La obligación se pedestal en la autodeterminación de los C / NCSP sobre si un cambio propuesto justifica una notificación, independientemente de la orientación proporcionada por Home Asuntos «, escribió.

«Ha habido casos en los que Asuntos Internos se ha comprometido con un cámara sobre un cambio propuesto en sus redes y seguidamente recomendó que el cámara envíe una notificación, ya que Asuntos Internos opinó que las características y características del cambio propuesto presentaban un aventura significativo».

A pesar de las recomendaciones de Asuntos Internos a estos operadores, el unidad dijo que no procedió a despachar una notificación formal, ya que en opinión del cámara, los cambios propuestos en sus redes o instalaciones no cumplían con los umbrales de evaluación de riesgos internos del cámara para la notificación formal.

«En abandono de una notificación, el gobierno no tiene visibilidad de los cambios en las redes o las medidas tomadas para mitigar los riesgos y no puede ofrecer asesoramiento», dijo Asuntos Internos.

El PJCIS está realizando actualmente una revisión estatutaria del funcionamiento de la Parte 14 de la Ley de telecomunicaciones de 1997 en la medida en que fue modificado por el Ley de modificación de la reglamento sobre telecomunicaciones y otras de 2017 TSSR.

Las reformas se aprobaron en septiembre de 2017 y comenzaron exactamente un año luego, lo que estableció un ámbito regulatorio para mandar los riesgos de seguridad franquista de las redes e instalaciones de telecomunicaciones de Australia.

Asuntos Internos dijo que las redes e instalaciones de telecomunicaciones, y los operadores y CSP que las poseen u operan, son objetivos atractivos para actividades de espionaje, boicoteo e interferencia extranjera por parte de actores estatales y no estatales.

«TSSR es un ámbito basado en principios que formaliza el compromiso de buena fe entre Asuntos Internos y el sector de telecomunicaciones de Australia para mandar mejor los riesgos de seguridad franquista para las redes de telecomunicaciones», dice el unidad.

La TSSR introdujo cuatro rudimentos secreto: obligación de seguridad, obligación de notificación, poder de colección de información y poder de dirección.

Asuntos Internos dijo que enmendar la Ley para permitirle solicitar notificación sobre un cambio propuesto, incluso en circunstancias en las que un C / NCSP haya determinado internamente que no necesita informar, garantizaría que cualquier cambio en las redes y sistemas de telecomunicaciones no presente riesgos de seguridad franquista. .

Enmendar la Ley para dar a Asuntos del Interior la capacidad de imponer condiciones, incluidas las condiciones relacionadas con el uso de entidades en la condena de suministro, o requerir que un C / NCSP tome medidas específicas ayudaría a mitigar los riesgos identificados con un cambio propuesto, dijo el unidad. . Explicó que esto garantizaría que las condiciones o mitigaciones se implementen y sean apropiadas para el ciclo de vida del cambio.

Al hacer esta manifiesto, el unidad señaló enmiendas para incluir un mecanismo formal que requiere que el C / NCSP continúe comprometiéndose con Asuntos Internos luego de que se hayan impuesto condiciones o mitigaciones.

El unidad además señaló el requisito de que los C / NCSP cuenten con un plan de capacidad de seguridad que pueda demostrar que están cumpliendo con sus requisitos de seguridad básicos como otra posible alivio de TSSR.

Esto se aborda en el Plan de ley de modificación de la reglamento de seguridad (infraestructura crítica) de 2020, que escudriñamiento modificar la Ley de seguridad de infraestructura crítica 2018 para implementar «un ámbito mejorado para mejorar la seguridad y la resistor de la infraestructura crítica de Australia».

Repasar más: Los gigantes tecnológicos no están convencidos de que el plan de ley de infraestructura crítica de Australia sea adecuado para su propósito

«Tras señalar que las telecomunicaciones siguen siendo un sector secreto de la infraestructura crítica, el [positive security obligation (PSO)], si se aplica al sector de las telecomunicaciones … podría reemplazar la disposición flagrante del plan de capacidad de seguridad «, dijo Asuntos Internos.

Se enumeraron otras mejoras bajo los poderes de instrucciones, que otorga al Ministro del Interior el poder de emitir una instrucción por escrito a un C / CSP para no usar o suministrar, o dejar de usar o suministrar, un servicio de transporte si, luego de consultar al Primer Ministro y Ministro de Comunicaciones, Ciberseguridad y Artes, el Ministro considera que el uso o suministro propuesto del servicio de transporte es o sería perjudicial para la seguridad.

«Las facultades de dirección se consideran mecanismos apropiados de final petición. Sin confiscación, las facultades graduadas que estarán disponibles bajo la [Protecting Critical Infrastructure and Systems of National Significance] las reformas, en caso de ser aprobadas por el Parlamento, ayudarían a proporcionar opciones para que el gobierno aborde los riesgos que son de orden inferior «, dijo.

«Los poderes graduados que se están diseñando bajo las … reformas podrían extender la obligación de seguridad positiva que incluye obligaciones de planificación de encargo de riesgos que permitirían al gobierno indicar dónde las entidades de telecomunicaciones pueden precisar tomar medidas para chocar los riesgos en sus cadenas de suministro sin acudir al poder de direcciones».

Telstra utilizó su sumisión [PDF] al PJCIS para resaltar su apoyo al uso del ámbito TSSR existente y que cree que habrá beneficios significativos al usarlo para cumplir con los objetivos del gobierno de robustecer la seguridad existente del ámbito de infraestructura crítica.

Solicitó que el maniquí de décimo informal se legisle en el TSSR y que las notificaciones formales se utilicen como mecanismo de final petición cuando las entidades no se comprometan con el gobierno.

Telstra además recomendó que los poderes de colección de información y dirección bajo el TSSR permanezcan en su división y se lleven a las reglas específicas del sector bajo las reformas propuestas de Infraestructura Crítica y Sistemas de Importancia Doméstico.

«Si correctamente este régimen no ha sido probado, las salvaguardas y las barandas fueron fuertemente negociadas durante la implementación de TSSR y deberían permanecer», dijo la empresa de telecomunicaciones.

La firma total de ciberseguridad Palo Detención Networks además presentó [PDF] su opinión al comité, pidiendo al PJCIS que busque formas de «alentar e incentivar a los ISP y las empresas de telecomunicaciones a persistir una visibilidad constante en tiempo auténtico a través del tráfico que pasa por sus redes y ser capaces de detectar y detener las amenazas de ciberseguridad en tiempo auténtico internamente de ese tráfico para todos clientes».

Igualmente señaló las ventajas de adoptar una posibilidad de tuberías limpias para proteger a la nación de las amenazas cibernéticas y convertirla en un objetivo menos atractivo para los adversarios.

COBERTURA RELACIONADA

Deja un comentario