过去几周,澳大利亚关于网络安全的争论主要集中在政府备受争议的“协助与进入”法案的通过上。但是,尽管政府访问加密信息是一个重要的主题,但保护澳大利亚免受威胁可能更多地取决于制定一个可靠和强大的网络安全响应计划的任务。
澳洲公布首个网络事件管理安排(CIMA)为州,地区和联邦政府。这是一个值得赞扬的举动,朝着全面的国家民防网络空间战略迈进。
至少在十年后才出现这种需求首先预示着由政府这只是需要更多发展的道路上的第一步。除了CIMA之外,政府还需要更好地向公众解释大规模网络事件所构成的独特威胁,并在此基础上,让私营部门和更广泛的专家社区参与解决这些独特威胁。
澳大利亚准备不足
新网络事件安排的目的是减少“国家网络事件”的范围、影响和严重性。
国家网络事件被定义为具有潜在的国家重要性,但没有触发政府的澳大利亚政府危机管理框架(AGCMF)的“危机”严重。
澳大利亚目前还没有准备好应对重大网络事件,比如Wannacry或NotPetya在2017年的袭击。
“想哭”严重扰乱了英国的国民医疗服务体系,造成1.6亿澳元的损失。NotPetya将全球最大的海运集装箱公司马士基(Maersk)关闭了数周,造成5亿澳元损失。
当随机网络攻击的成本如此之高时,所有澳大利亚政府对高威胁事件都有协调的反应计划是至关重要的。CIMA规定了管辖间的协调安排、角色和责任以及合作原则。
更高级别的网络危机会触发AGCMF(该过程本身似乎准备不足),即“……导致基本服务的持续中断、严重的经济损失、对国家安全的威胁或生命的丧失”。
更多的网络专家和网络事件演习
CIMA只有7页长,采用精美的小册子格式,并没有概述具体的操作事件管理协议。
这将取决于州和地区政府与联邦进行谈判。这意味着开发的协议可能受制于竞争的预算优先级、政治意愿、网络成熟度的不同水平,以及最重要的,人员需求。
澳大利亚有严重的缺乏熟练网络人员的危机一般来说。这在管理复杂网络事件所需的专业领域尤其如此。
政府机构很难与大型企业(如大型银行)争夺顶级人才。
的技能危机由于澳大利亚缺乏高质量的教育和培训项目,这一问题更加严重。在很大程度上,我们的大学没有教授——甚至没有研究——复杂的网络事件,而这些事件的规模足以满足国家的需要。
联邦政府必须迅速采取行动,加强和正式化与关键非政府合作伙伴的合作安排——特别是商业部门,但也包括研究人员和大型非营利实体。
电力公司等关键基础设施提供商应该是首批合作对象,因为如果它们受到攻击,可能会产生巨大的后果。
为了帮助实现这一目标,CIMA首次概述了将针对全国需求的定期网络事件演习制度化的计划。
需要更好的长期规划
虽然这些举措是一个良好的开端,但还有三个长期任务需要注意。
首先,政府需要围绕其网络事件政策和相关演习计划的目的构建一个一致的、可信的和持久的公众叙事。
前网络安全部长丹·特汉曾提到过一场网络风暴,前总理马尔科姆·特恩布尔(Malcolm Turnbull)这是一场完美的网络风暴以及网络协调员阿拉斯泰尔·麦克吉本(Alastair McGibbon)谈到了网络灾难作为澳大利亚面临的唯一生存威胁
但在公共领域,这些观点实际上意味着什么,几乎没有明确的表述。
新的网络事件管理安排旨在在国家网络危机的水平下运行。但是这个国家急需民防战略网络空间这解决了两种级别的攻击。没有明显提到网络威胁澳大利亚灾害恢复知识中心的网站.
这是一种全新的民防形式,它可能需要一种新的组织形式来推进它。另一种可能的解决方案是,由现有机构(如国家紧急服务局(SES))成立一个新的专门机构。
我们中的一个(格雷格·奥斯汀)在2016年提出创建一个新的“网络公民团体”。这将是一个纪律严整的服务,依靠训练有素的人的兼职承诺来应对国家网络紧急情况。网络民间团体还可以帮助确定培训需求,并为国家培训计划作出贡献。
第二项任务落在了私营企业身上,它们在随机的网络攻击中面临着潜在的巨大成本。
他们需要在网络模拟和锻炼方面建立自己的专业知识体系。将此类责任外包给咨询公司或一次性报告,将产生零散的结果。公司内部关于应急管理的任何“经验教训”都可能无法被整合并与更广泛的商界分享。
所有利益攸关方的第三项任务是动员由学术界、政府和私营部门的研究人员领导的不断扩大的知识社区。
目前存在的是极简主义,似乎受制于澳大利亚网络安全中心(Australian Cyber Security Centre)少数高级官员的偏好。正式启动)和民政事务总署几年内可能不在岗位上的人。
网络民防是整个社会的责任。澳大利亚需要一个全国常务委员会网络安全应急管理和复原力是政府、企业和学术专家之间的平等伙伴关系。
了下:基础设施
