Pemerintah mengajukan RUU keamanan infrastruktur penting kedua – Keamanan
Technology

Pemerintah mengajukan RUU keamanan infrastruktur penting kedua – Keamanan

Pemerintah federal telah mulai berkonsultasi dengan industri tentang aspek-aspek undang-undang keamanan infrastruktur kritis yang diusulkan yang terpaksa dikesampingkan untuk meloloskan kekuatan intervensi insiden dunia maya yang mendesak.

Menteri Dalam Negeri Karen Andrews pada hari Rabu merilis draft eksposur [pdf] dari RUU Keamanan (Perlindungan Infrastruktur Kritis), yang dia gambarkan sebagai “langkah selanjutnya” dalam reformasi infrastruktur penting pemerintah.

RUU SLCIP adalah hasil keputusan Komite Gabungan Parlemen untuk Intelijen dan Keamanan (PJCIS) untuk memecah RUU Amandemen Undang-Undang Keamanan (Infrastruktur Kritis) menjadi dua untuk “cepat” membuat undang-undang reformasi yang paling mendesak.

Versi pengurangan dari RUU yang berisi kekuatan terakhir yang akan memungkinkan pemerintah untuk campur tangan untuk menahan serangan dunia maya terhadap infrastruktur kritis disahkan setelah diperkenalkan kembali ke parlemen bulan lalu.

RUU itu juga memperluas definisi infrastruktur penting ke 11 sektor lebih lanjut, termasuk penyimpanan atau pemrosesan data, layanan keuangan dan perawatan kesehatan, dan memperkenalkan kewajiban pelaporan insiden dunia maya.

RUU SLCIP sekarang keluar untuk konsultasi menangkap “langkah-langkah kurang mendesak” yang telah dihapus dari RUU asli dan juga memperhitungkan amandemen yang disarankan dari kedua industri dan laporan PJCIS.

Salah satu reformasi tersebut adalah pengenalan kewajiban keamanan siber yang ditingkatkan untuk “aset infrastruktur kritis subset yang jauh lebih kecil” yang dianggap pemerintah sebagai “sistem signifikansi nasional”.

RUU itu akan memberi Menteri Dalam Negeri hari itu “kemampuan untuk secara pribadi mendeklarasikan aset infrastruktur penting sebagai sistem yang signifikan secara nasional” jika kepentingan nasional Australia kemungkinan akan terpengaruh sebagai akibat dari serangan dunia maya terhadap operator itu.

Aset yang diklasifikasikan sebagai sistem signifikan nasional mungkin diperlukan untuk “melakukan aktivitas keamanan siber yang lebih ditentukan” seperti latihan keamanan siber dan penilaian kerentanan untuk meningkatkan kesiapsiagaan dan memulihkan masalah.

Jika komputer diklasifikasikan sebagai sistem signifikansi nasional atau diperlukan untuk mengoperasikan sistem signifikansi nasional, mungkin juga ada kasus di mana entitas perlu “menginstal perangkat lunak yang mengirimkan informasi sistem ke ASD”.

“Jika parlemen membuat undang-undang kedua ini, itu akan melengkapi formulir untuk kerangka kerja keamanan semua bahaya yang ditingkatkan yang disampaikan di bawah Security of Critical Infrastructure Act 2018,” makalah penjelasan [pdf] untuk tagihan SLCIP baru berbunyi.

Kejelasan yang lebih besar atas definisi

Pemerintah juga telah menggunakan RUU tersebut untuk mengubah “sektor utama dan definisi aset” untuk “mengklarifikasi entitas yang bertanggung jawab atas aset infrastruktur penting”, seperti yang direkomendasikan dalam laporan PJCIS pada bulan September.

Laporan tersebut menemukan bahwa definisi aset dalam undang-undang asli tidak “mengenali potensi dampak ekstrateritorial”, dengan sektor penyimpanan dan pemrosesan data menimbulkan kekhawatiran khusus yang terkait dengan sifat horizontal layanan mereka selama penyelidikan.

RUU tersebut mengubah definisi penyimpanan data atau layanan pemrosesan menjadi “layanan yang memungkinkan pengguna akhir untuk menyimpan atau mencadangkan data” dan “disediakan secara komersial”, atau alternatifnya menjadi “layanan pemrosesan data yang “melibatkan penggunaan satu atau lebih komputer” dan “disediakan atas dasar komersial”.

Dalam nota penjelasan untuk draft eksposur, pemerintah mengatakan definisi yang diubah, yang “sejalan erat dengan definisi dan standar internasional” seperti NIST, akan berusaha untuk menangkap layanan yang:

  • Memperoleh atau mengelola infrastruktur komputasi yang diperlukan untuk menyediakan layanan penyimpanan dan pemrosesan
  • Jalankan perangkat lunak penyimpanan atau pemrosesan yang menyediakan layanan penyimpanan atau pemrosesan data terkomputerisasi
  • Membuat pengaturan untuk memberikan layanan penyimpanan atau pemrosesan kepada konsumen melalui akses jaringan

Pemerintah juga telah mengklarifikasi bahwa pemrosesan data mengacu pada “kumpulan tindakan data terkomputerisasi” seperti penyimpanan, pencatatan, pembuatan, transformasi, penggunaan, pengungkapan, pembagian, transmisi, dan pembuangan.

Ini juga mengubah definisi “penyimpanan data penting atau aset pemrosesan” menjadi “menghapus referensi ke ‘sepenuhnya atau terutama'”.

Kementerian Dalam Negeri akan menerima pengajuan hingga proses konsultasi berakhir pada 1 Februari 2022.

Posted By : pengeluaran hk hari ini 2021