El Comité Parlamentario Conjunto de Inteligencia y Seguridad (PJCIS) está buscando formalizar la relación entre el gobierno y los proveedores de telecomunicaciones de la nación, ya que dice que depender de los procesos voluntarios actuales es insuficiente.
Tal como está actualmente, bajo las Reformas de Seguridad del Sector de las Telecomunicaciones (TSSR), los operadores deben «hacer todo lo posible» para proteger sus redes contra el acceso no autorizado o la interferencia con fines de seguridad, y los operadores deben notificar al gobierno sobre cualquier cambio en sus servicios. , sistemas o equipos que podrían tener un «efecto material adverso» en su capacidad para cumplir con este deber.
Aunque el comité dijo en su informe que las empresas de telecomunicaciones altamente reguladas están en una mejor posición para manejar las obligaciones de seguridad del marco de infraestructura crítica, se necesitaba una formalización.
«El concepto regulatorio de proveedores ‘haciendo todo lo posible’ para proteger sus redes en el interés nacional ha servido a la Ley Telco y al TSSR hasta ahora, pero el comité no puede estar seguro de que la confianza en la industria por sí sola para contrarrestar las amenazas sea sostenible. ni que la Ley de Telco en su conjunto pueda continuar manteniendo los requisitos de seguridad para la industria”, dice el informe.
El principal resultado del TSSR hasta el momento ha sido la prohibición de Huawei de los despliegues 5G en Australia, lo que, según el comité, mostró que el gobierno podía intervenir cuando era necesario, pero solo ocurría cuando una amenaza era «abrumadoramente evidente».
«Al considerar la evidencia proporcionada, el comité formó la opinión de que, en muchos casos, la industria tenía la responsabilidad de llevar la carga del intercambio de información y la comunicación con el gobierno, en parte debido a la dependencia inherente del régimen TSSR en el compromiso voluntario. Si bien ciertamente hay circunstancias en las que estos arreglos son adecuados, la opinión del comité es que no es suficiente confiar en prácticas voluntarias, y el diálogo, las notificaciones, las amenazas y el intercambio de información entre la industria y el gobierno deben formalizarse”, dijo.
Para impulsar estos esfuerzos, el PJCIS ha recomendado que el Departamento de Infraestructura, Transporte, Desarrollo Regional y Comunicaciones trabaje con el Centro de Seguridad Cibernética y de Infraestructura dentro de Asuntos Internos para determinar la «identificación, gestión y mitigación de riesgos de mejores prácticas de la industria».
En un intento por evitar que las empresas de telecomunicaciones tengan diferentes interpretaciones de cuándo se necesitan notificaciones, como lo demuestra Optus, que representa más de la mitad de todas las notificaciones, el comité quiere que se cree un grupo de trabajo de seguridad de telecomunicaciones que esté compuesto por representantes del departamento de Comunicaciones, Asuntos Internos , las empresas de telecomunicaciones, la Organización de Inteligencia de Seguridad de Australia y la Dirección de Señales de Australia.
«Este grupo de trabajo podría establecer estándares acordados y principios de mejores prácticas para informar el trabajo de los consejos y recursos del Centro de Seguridad Cibernética e Infraestructura», dijo el comité.
«El Comité recomienda que el grupo de trabajo… se encargue de determinar el alcance de las condiciones de licencia de operador acordadas, las reglas del proveedor de servicios y los códigos y estándares para la seguridad de las redes y los sistemas.
«Estos se pueden usar para guiar los recursos que producirá ese grupo e informar las instrucciones o los poderes de recopilación de información que puede ejercer el Ministro del Interior según las disposiciones existentes de la Parte 14 de la Ley de Telecomunicaciones de 1997.»
El grupo de trabajo también sería consultado sobre cualquier obligación duplicada que surja de la interacción de TSSR y la enmienda Ley de Seguridad de Infraestructura Crítica de 2018 (Ley SOCI) antes de cualquier activación de obligaciones.
«Si se acuerda, y una vez activadas, las obligaciones duplicadas u otros mecanismos en la Parte 14 de la Ley de Telecomunicaciones de 1997 debe ser derogada o desactivada por los mecanismos pertinentes, a fin de evitar la duplicación regulatoria en las entidades de telecomunicaciones», dice el informe.
En su informe, el comité dijo que, mientras realizaba su revisión, quedó claro que su revisión tenía «cruces significativos» con la revisión de infraestructura crítica que se estaba llevando a cabo simultáneamente.
«Los llamados para la derogación de la TSSR o la desactivación de las obligaciones duplicadas son razonables por parte de los afectados, pero el comité no quiere recomendar la derogación de ningún mecanismo que esté implementado y funcionando para asegurar las telecomunicaciones en Australia. La importancia del sector para la nación es demasiado fuerte para actuar de esa manera sin una consideración completa», dijo.
«El comité confía en las afirmaciones del gobierno de que cualquier obligación SOCI potencial solo se ‘activará’ si las obligaciones TSSR existentes se evalúan como inadecuadas. Sin embargo, el comité cree que esta decisión debe tomarse en consulta con las entidades potencialmente afectadas y está recomendando que eso ocurra a través del grupo de trabajo».
Además, el comité recomendó que se enmiende la Ley de Telco para establecer que la seguridad es un objeto de la Ley, y se cree un «foro de intercambio de amenazas de seguridad de telecomunicaciones dedicado» para permitir que ASIO y ASD informen a las empresas de telecomunicaciones sobre amenazas al «nivel máximo clasificado». posible».
Aunque Huawei presentó una presentación a la revisión alegando que Australia se estaba aislando de «la mejor tecnología e innovación del mundo», el gigante tecnológico chino rechazó una invitación para comparecer ante el comité.