Законопроект о кибербезопасности КИ Австралии подвергся критике Microsoft
Законопроект о расширении сферы применения государственного контроля за кибербезопасностью критической инфраструктуры (КИ) Австралии подвергся критике со стороны компании Microsoft, 15 февраля сообщает американский портал новостей об информационных технологиях ZDNet.
Законопроект был впервые опубликован министерством внутренних дел Австралии в ноябре 2020 года. Он внесен на рассмотрение парламента и еще не принят.
Законопроект расширяет сферу применения закона о безопасности критически важной инфраструктуры от 2018 года на отраслях связи, транспорта, информационных технологий, военной и продовольственной безопасности, а также науки, образования и здравоохранения.
В случае принятия законопроект закрепит обязательства организаций КИ отчитываться об обеспечении кибербезопасности Австралийскому управлению сигналов (ASD). И, наоборот, усилит государственные обязательства по государственной помощи организациям, подвергшимся хакерским атакам.
Инциденты с нарушением кибербезопасности — это стрессовая ситуация, требующая оперативных и последовательных шагов по выяснению ситуации и ликвидации последствий. В компании Microsoft считают, что вмешательство государства в таких ситуациях только усугубит проблему.
Во-первых, потребуется передавать информацию ASD и выстраивать коммуникацию в ситуации, когда время крайне дорого. Во-вторых, ASD либо слишком долго будет собирать всю необходимую информацию для выработки корректных мер, либо будет вынуждено реагировать без полного понимания ситуации и имеющихся ресурсов.
В результате, считают в Microsoft, одностороннее вмешательство правительства в инциденты может навредить кибербезопасности организаций и подорвать доверие клиентов к ним.
Австралийское правительство должно брать на себя полную ответственность, включая готовность компенсировать ущерб от вмешательства, если оно хочет зафиксировать за собой право вмешиваться, считают в Microsoft.
Аналогичное заявление сделали в компании Amazon. В Amazon Web Services (AWS) считают, что необходимо, как минимум, конкретно описать набор условий государственного вмешательства. Также AWS поинтересовались, будет ли пострадавшая организация иметь возможность пересмотра разбора ситуации.