De debatten over cyberbeveiliging in Australië in de afgelopen weken waren grotendeels gecentreerd rond het aannemen van de controversiële wet inzake bijstand en toegang van de regering. Maar hoewel de toegang van de overheid tot versleutelde berichten een belangrijk onderwerp is, het beschermen van Australië tegen bedreigingen zou meer kunnen afhangen van de taak om een ​​solide en robuust cyberbeveiligingsplan te ontwikkelen.

Australië heeft zijn eerste Cyber ​​Incident Management Arrangements (CIMA) voor staat, grondgebied en federale regeringen op 12 december. Het is een lovenswaardige stap in de richting van een alomvattende nationale strategie voor civiele bescherming voor cyberspace.

Minstens tien jaar nadat de noodzaak voor het eerst werd aangekondigd door de regering, dit is slechts de eerste stap op een pad dat veel meer ontwikkeling vereist. Voorbij CIMA, de overheid moet het publiek beter uitleggen wat de unieke dreigingen zijn van grootschalige cyberincidenten en, op basis daarvan, de particuliere sector en een bredere gemeenschap van deskundigen betrekken bij het aanpakken van deze unieke bedreigingen.

Australië is slecht voorbereid

Het doel van de nieuwe cyberincidentregelingen is om de omvang, impact en ernst van een "nationaal cyberincident".

Een landelijk cyberincident wordt gedefinieerd als van potentieel nationaal belang, maar minder ernstig dan een "crisis" die het Australian Government Crisis Management Framework (AGCMF) van de regering zou activeren.

Australië is momenteel slecht voorbereid om te reageren op een groot cyberincident, zoals de Wannacry- of NotPetya-aanvallen in 2017.

Wannacry heeft de Britse National Health Service ernstig verstoord, voor een bedrag van A $ 160 miljoen. NotPetya sloot 's werelds grootste rederij voor containers, Maersk, gedurende enkele weken, kost het A $ 500 miljoen.

Wanneer de kosten voor willekeurige cyberaanvallen zo hoog zijn, het is van vitaal belang dat alle Australische regeringen gecoördineerde reactieplannen hebben op incidenten met een hoge dreiging. De CIMA stelt interjurisdictionele coördinatieregelingen vast, rollen en verantwoordelijkheden, en principes voor samenwerking.

Een cybercrisis op een hoger niveau die de AGCMF zou activeren (een proces dat op zichzelf enigszins ondervoorbereid lijkt), is er een die "... resulteert in een aanhoudende verstoring van essentiële diensten, ernstige economische schade, een bedreiging voor de nationale veiligheid of het verlies van mensenlevens."

Meer cyberexperts en cyberincidentoefeningen

Slechts zeven pagina's lang, in glanzend brochureformaat, de CIMA schetst geen specifieke protocollen voor operationeel incidentbeheer.

Dit is aan de regeringen van de staat en het grondgebied om met het Gemenebest te onderhandelen. Dat betekent dat de ontwikkelde protocollen onderhevig kunnen zijn aan concurrerende begrotingsprioriteiten, politieke eetlust, uiteenlopende niveaus van cybervolwassenheid, en, het belangrijkste, personeelseisen.

Australië heeft een ernstige crisis in de beschikbaarheid van geschoold cyberpersoneel in het algemeen. Dit is met name het geval in specialistische gebieden die nodig zijn voor de beheersing van complexe cyberincidenten.

Overheidsinstanties hebben moeite om te concurreren met grote bedrijven, zoals de grote banken, voor de rekruten van het hoogste niveau.

De vaardigheidscrisis wordt verergerd door het gebrek aan hoogwaardige onderwijs- en trainingsprogramma's in Australië voor deze specialistische taak. onze universiteiten, voor het grootste gedeelte, leer geen complexe cyberincidenten, of onderzoek ze zelfs niet, op een schaal die zou kunnen beginnen te voorzien in de nationale behoefte.

De federale overheid moet snel handelen om de samenwerkingsovereenkomsten met belangrijke niet-gouvernementele partners, met name het bedrijfsleven, te versterken en te formaliseren, maar ook onderzoekers en grote non-profitorganisaties.

Aanbieders van kritieke infrastructuur, zoals elektriciteitsbedrijven, zou een van de eerste bedrijven moeten zijn die het doelwit zijn van samenwerking vanwege de omvang van de potentiële gevolgen als ze worden aangevallen.

Om dit te helpen realiseren, CIMA schetst plannen om te institutionaliseren, Voor de eerste keer, regelmatige cyberincidentoefeningen die inspelen op landelijke behoeften.

Er is een betere langetermijnplanning nodig

Hoewel deze bewegingen een goed begin zijn, er zijn drie taken op langere termijn die aandacht nodig hebben.

Eerst, de overheid moet een consistente, geloofwaardig en duurzaam openbaar verhaal over het doel van haar beleid inzake cyberincidenten, en bijbehorende oefenprogramma's.

Voormalig minister van Cyberbeveiliging Dan Tehan heeft gesproken over een enkele cyberstorm, voormalig premier Malcolm Turnbull sprak van een perfecte cyberstorm (meerdere stormen samen), en cybercoördinator Alastair McGibbon spraken van een cybercatastrofe als de enige existentiële bedreiging waarmee Australië werd geconfronteerd.

Maar er is weinig articulatie in het publieke domein van wat deze ideeën eigenlijk betekenen.

De nieuwe regelingen voor cyberincidentmanagement zijn bedoeld om onder het niveau van de nationale cybercrisis te opereren. Maar het land heeft dringend behoefte aan een civiele verdedigingsstrategie voor cyberspace die beide aanvalsniveaus aanpakt. Op de website van de Australian Disaster Resilience Knowledge Hub wordt geen noemenswaardige melding gemaakt van cyberdreigingen.

Dit is een geheel nieuwe vorm van burgerbescherming, en het kan een nieuwe organisatievorm nodig hebben om het vooruit te helpen. een nieuwe, toegewijde tak van een bestaand agentschap, zoals de Staatsnooddiensten (SES), is een andere mogelijke oplossing.

Een van ons (Greg Austin) stelde in 2016 voor om een ​​nieuw "cyber civil corps" op te richten. Dit zou een gedisciplineerde dienst zijn die vertrouwt op parttime verplichtingen van de mensen die het best zijn opgeleid om te reageren op nationale cybernoodgevallen. Een cyberciviel korps zou ook kunnen helpen bij het definiëren van opleidingsbehoeften en bijdragen aan nationale opleidingspakketten.

De tweede taak valt onder het particuliere bedrijfsleven, die te maken krijgen met mogelijk verlammende kosten bij willekeurige cyberaanvallen.

Ze zullen hun eigen expertise op het gebied van cybersimulaties en oefeningen moeten opbouwen. Het uitbesteden van dergelijke verantwoordelijkheden aan adviesbureaus, of eenmalige meldingen, zou scattershot-resultaten opleveren. Alle "geleerde lessen" binnen bedrijven over beheer van onvoorziene gebeurtenissen zouden niet kunnen worden geconsolideerd en gedeeld met het bredere bedrijfsleven.

De derde taak van alle belanghebbenden is het mobiliseren van een groeiende kennisgemeenschap onder leiding van onderzoekers uit de academische wereld, overheid en de particuliere sector.

Wat er op dit moment bestaat is minimalistisch, en lijkt gegijzeld door de voorkeuren van een handvol hoge functionarissen in het Australian Cyber ​​Security Center (ACSC) en het ministerie van Binnenlandse Zaken, die mogelijk niet binnen enkele jaren in functie zijn.

Cyberciviele verdediging is de verantwoordelijkheid van de hele gemeenschap. Australië heeft een nationaal permanent comité nodig voor het beheer van noodsituaties op het gebied van cyberbeveiliging en veerkracht, dat een gelijkwaardig partnerschap is tussen de overheid, bedrijf, en academische specialisten.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.