Nye retningslinjer for at reagere på cyberangreb rækker ikke langt nok

Debatter om cybersikkerhed i Australien i løbet af de sidste par uger har stort set været centreret omkring vedtagelsen af ​​regeringens kontroversielle lov om bistand og adgang. Men selv om regeringens adgang til krypterede meddelelser er et vigtigt emne, at beskytte Australien mod trusler kunne afhænge mere af opgaven med at udvikle en solid og robust cybersikkerhedsresponsplan.

Australien udgav sine første Cyber ​​Incident Management Arrangements (CIMA) for staten, territorium og føderale regeringer den 12. december. Det er et prisværdigt skridt hen imod en omfattende national civilforsvarsstrategi for cyberspace.

Kommer mindst et årti efter at behovet først blev forudskygget af regeringen, dette er kun det første skridt på en vej, der kræver meget mere udvikling. Ud over CIMA, regeringen er nødt til bedre at forklare offentligheden de unikke trusler, som storstilede cyberhændelser udgør, og på det grundlag, engagere den private sektor og et bredere ekspertfællesskab om håndtering af disse unikke trusler.

Australien er dårligt forberedt

Formålet med de nye cyberhændelsesordninger er at reducere omfanget, virkningen og alvoren af ​​en "national cyberhændelse".

En national cyberhændelse defineres som værende af potentiel national betydning, men mindre alvorlig end en "krise", der ville udløse regeringens Australian Government Crisis Management Framework (AGCMF).

Australien er i øjeblikket dårligt forberedt på at reagere på en større cyberhændelse, f.eks. Wannacry- eller NotPetya -angrebene i 2017.

Wannacry forstyrrede alvorligt Storbritanniens nationale sundhedstjeneste, til en pris på 160 millioner kroner. NotPetya lukkede verdens største containerrederi, Mærsk, i flere uger, koster det 500 millioner dollars.

Når omkostningerne til tilfældige cyberangreb er så høje, det er afgørende, at alle australske regeringer har koordineret reaktionsplaner for højtrusende hændelser. CIMA fastlægger interjurisdiktionelle koordinationsordninger, roller og ansvar, og principper for samarbejde.

En cyberkrise på højere niveau, der ville udløse AGCMF (en proces, der i sig selv ser noget underforberedt ud), er en, der "... resulterer i vedvarende forstyrrelse af væsentlige tjenester, alvorlig økonomisk skade, en trussel mod den nationale sikkerhed eller tab af liv. "

Flere cybereksperter og cyberhændelsesøvelser

Kun syv sider lang, i blank brochureformat, CIMA skitserer ikke specifikke operationelle hændelsesstyringsprotokoller.

Dette vil være op til stater og territorier at forhandle med Commonwealth. Det betyder, at de udviklede protokoller kan være underlagt konkurrerende budgetprioriteter, politisk appetit, divergerende niveauer af cybermodenhed, og, mest vigtigt, personalekrav.

Australien har en alvorlig krise med hensyn til tilgængeligheden af ​​kvalificeret cyberpersonale generelt. Dette er især tilfældet inden for specialområder, der kræves til håndtering af komplekse cyberhændelser.

Regeringsorganer kæmper for at konkurrere med større virksomheder, såsom de store banker, for rekrutterne på øverste niveau.

Kompetencekrisen forværres af manglen på uddannelses- og uddannelsesprogrammer af høj kvalitet i Australien til denne specialopgave. Vores universiteter, for det meste, ikke undervise i – eller endda forske i – komplekse cyberhændelser i en skala, der kunne begynde at betjene det nationale behov.

Den føderale regering skal hurtigt bevæge sig for at styrke og formalisere ordninger for samarbejde med centrale ikke-statslige partnere-især erhvervslivet, men også forskere og store almennyttige enheder.

Udbydere af kritiske infrastrukturer, som elselskaber, bør være blandt de første virksomheder, der er målrettet for samarbejde på grund af omfanget af potentielt nedfald, hvis de kom under angreb.

For at hjælpe med at opnå dette, CIMA skitserer planer om at institutionalisere, for første gang, regelmæssige cyberhændelsesøvelser, der imødekommer landsdækkende behov.

Der er behov for bedre langsigtet planlægning

Selvom disse træk er en god start, der er tre længerevarende opgaver, der kræver opmærksomhed.

Først, regeringen skal opbygge en konsekvent, troværdig og holdbar offentlig fortælling om formålet med dens cyberhændelsespolitikker, og tilhørende træningsprogrammer.

Den tidligere cybersikkerhedsminister Dan Tehan har talt om en enkelt cyberstorm, tidligere premierminister Malcolm Turnbull talte om en perfekt cyberstorm (flere storme tilsammen), og cyberkoordinator Alastair McGibbon talte om en cyberkatastrofe som den eneste eksistentielle trussel, Australien stod over for.

Men der er lidt artikulation i det offentlige område om, hvad disse ideer egentlig betyder.

De nye arrangementer for håndtering af cyberhændelser er beregnet til at fungere under niveauet for national cyberkrise. Men landet har hårdt brug for en civilforsvarsstrategi for cyberrum, der adresserer begge angrebsniveauer. Der er ingen nævneværdig omtale af cybertrusler på webstedet for Australian Disaster Resilience Knowledge Hub.

Dette er en helt ny form for civilforsvar, og den kan have brug for en ny organisationsform for at føre den videre. En ny, dedikeret arm af et eksisterende agentur, f.eks. Statens beredskabstjeneste (SES), er en anden potentiel løsning.

En af os (Greg Austin) foreslog i 2016 oprettelsen af ​​et nyt "cyber civilt korps". Dette ville være en disciplineret service, der er afhængig af deltidsforpligtelser fra de mennesker, der er bedst uddannet til at reagere på nationale cybernødsituationer. Et civilt cyberkorps kunne også hjælpe med at definere uddannelsesbehov og bidrage til nationale uddannelsespakker.

Den anden opgave falder på private virksomheder, der står over for potentielt lammende omkostninger i tilfældige cyberangreb.

De bliver nødt til at opbygge deres egen ekspertise inden for cybersimuleringer og motion. Udlicitering af sådanne opgaver til konsulentvirksomheder, eller engangsrapporter, ville give spredte resultater. Enhver "erfaring" inden for virksomheder om beredskabsstyring kan ikke konsolideres og deles med det bredere erhvervsliv.

Den tredje opgave for alle interessenter er at mobilisere et ekspanderende vidensfællesskab ledet af forskere fra den akademiske verden, staten og den private sektor.

Det, der eksisterer i øjeblikket, er minimalistisk, og ser ud til at være gidsel for præferencerne hos en håndfuld højtstående embedsmænd i Australian Cyber ​​Security Center (ACSC) og Department of Home Affairs, som måske ikke er i stilling inden for flere år.

Cyber-civilforsvar er hele samfundets ansvar. Australien har brug for et nationalt stående udvalg for cybersikkerhedsberedskab og modstandsdygtighed, der er et ligeværdigt partnerskab mellem regeringen, forretning, og akademiske specialister.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.