ASIC主席乔?朗戈(Joe Longo)警告称,企业必须弥补网络安全防御方面“令人担忧的”漏洞,而专家们表示,在Optus上周网络中断后,电信公司要遵守新出台的网络法律,将付出“非常高昂的代价”。
朗戈发表上述言论之际,澳大利亚监管机构周一发布了澳大利亚企业网络防范的年度报告。报告发现,近一半企业没有管理第三方或供应链风险,而这些风险通常被黑客用来入侵企业。
预计政府将于下周宣布一项期待已久的国家网络安全战略。周一公布的一份报告显示,除了将电信运营商纳入更严格的关键基础设施安全(SOCI)法律之外,还开始出现新的要求,要求公司就正在发生的网络事件和赎金要求向政府发出警告。
Optus的宕机,以及随后对迪拜环球港务集团港口的破坏性网络攻击,暴露了澳大利亚脆弱的数字软肋,政府正竞相加强这一软肋。
在报告中,ASIC对澳大利亚企业的网络成熟度进行了1到4分的评级,其中4分是最理想的。澳大利亚企业的加权平均值仅为1.66,这意味着大多数公司都是在问题出现时做出反应,而不是适当地缓解问题。小公司的情况明显比大公司差。
调查发现,44%的组织未能管理与外部第三方(如供应商、合作伙伴、承包商或服务提供商)打交道所带来的网络风险,这些第三方通常可以访问其内部系统。报告称,58%的企业保护机密信息的能力有限或根本没有能力,三分之一的企业没有网络事件响应计划。
“这令人担忧……第三方关系为威胁行为者提供了进入组织系统和网络的便捷途径。”朗戈先生说。
他说:“我们需要的不仅仅是安全,还需要增强复原力,也就是对事故做出反应并从事故中恢复的能力。制定计划是不够的。他们必须定期接受检查。”
今年早些时候,隆戈表示,ASIC将寻求对那些对网络攻击毫无准备的董事和高管采取法律行动,以儆戒他们。
虽然Optus上周因其网络中断时间长而受到广泛批评,但据报道,这不是一次网络事件。
这并没有使电信行业免受最近加强的社会保险要求的拖累。虽然电信公司以前是受《电信法》管理的,但内政部长克莱尔·奥尼尔(Clare O 'Neil)计划首次将其归类为“关键基础设施”,要求其董事会遵守与医院、公用事业、港口和发电资产同样严格的规定。
电信分析师保罗·布德(Paul Budde)表示,Telstra、Optus、TPG和Vocus等公司已经在按照SOCI的预期管理自己的网络,但现在需要进行昂贵的新投资。
他表示:“电信公司将希望限制这种情况,政府也将希望限制它们的财务参与。”
“为了避免像Optus这样的灾难,需要复制具有单一故障结果的关键IT系统。这是一种效率较低的利用容量的方式,可能会造成系统溢出,并显著增加IT成本,但可以防止全面崩溃。”
布德表示,主要电信公司的基础网络和系统已经变得如此复杂,以至于没有人能够完全掌握这个“网络中的网络”正在发生什么。
他说:“最终,这将使我们不可能找到一个全面的解决方案,我们只能希望我们能做得更好一些。”
Optus负责监管和公共事务的副总裁Andrew Sheridan表示,Optus支持政府的声明,并感谢就关键基础设施的安全问题与业界进行磋商。
与此同时,TPG的一名发言人对这些变化提供了谨慎的支持,称它支持“明智的改革”,以加强网络的弹性和冗余性。
这位发言人说:“虽然在国家安全问题上进行合作一直很重要,但我们需要确保任何改变都能促进问责制,而不会增加不必要的监管负担。”
记者也联系了澳大利亚电信和Vocus请其置评。澳洲宽带拒绝置评。
前国家网络安全顾问、现就职于网络咨询公司CyberCX的阿拉斯泰尔·麦吉本(Alastair MacGibbon)表示,他还怀疑大多数电信公司已经在类似社会的制度下运营了,但这将使所有关键基础设施组织都更清楚地遵守普遍义务。
奥尼尔表示,将引入一项新的强制性无过错、无责任的勒索软件报告义务,为政府提供一个早期预警系统,以应对不断出现的问题。
政府还将制定一份勒索软件“剧本”,为企业和公民提供明确的指导,指导他们如何准备、应对赎金要求,并从赎金要求中恢复过来。