MacTel advierte que las reformas de infraestructura crítica crean brechas en la protección de datos del gobierno

casa-del-parlamento-de-canberra-zoomed.jpg

Imagen: Asha Barbaschow/MarketingyPublicidad.es

Macquarie Telecom ha calificado las reformas de infraestructura crítica de Australia como «diluidas», advirtiendo que muchos proveedores de servicios de almacenamiento o procesamiento de datos pueden evitar la regulación debido al enfoque principal de las reformas en «datos críticos para el negocio».

«Esta es una reducción significativa y peligrosa en el alcance de [Australia’s critical infrastructure laws] porque los datos críticos para el negocio no describen el tipo de información que más comúnmente tienen los departamentos y agencias gubernamentales ni lo que es crucial para el funcionamiento del gobierno», dijo el proveedor australiano de almacenamiento de datos y nube.

Los comentarios de Macquarie Telecom se realizaron ante el Comité Conjunto Parlamentario de Inteligencia y Seguridad (PJCIS), que actualmente está revisando las últimas reformas de infraestructura crítica que se introdujeron en el Parlamento el mes pasado.

Las reformas se han presentado hasta ahora en forma de dos leyes; el primero se convirtió en ley en diciembre para otorgar al gobierno poderes de «último recurso» para dirigir a una entidad de infraestructura crítica sobre cómo intervenir contra los ataques cibernéticos; la segunda pieza de legislación, que es lo que Macquarie Telecom ha señalado que requiere enmiendas, busca agregar requisitos para que las entidades de infraestructura crítica tengan programas de gestión de riesgos y las entidades consideradas «más importantes para la nación» para cumplir con las obligaciones mejoradas de seguridad cibernética.

Al desempacar las preocupaciones de Macquarie Telecom, la compañía dijo que la segunda pieza de legislación, conocida como el proyecto de ley SLACIP, busca enmendar las leyes existentes para que los requisitos de las entidades de infraestructura crítica no se apliquen a los proveedores de almacenamiento de datos a menos que los datos gubernamentales que almacenan o procesan comprendan » datos críticos para el negocio». Según la compañía, esto daría como resultado que varios tipos de datos no estén cubiertos por el requisito del programa de gestión de riesgos de la regulación.

Ejemplos de datos que no estarían cubiertos por las reformas de infraestructura crítica son información gubernamental altamente clasificada, la totalidad de los Archivos Nacionales de Australia, registros oficiales de empresas para la Comisión Australiana de Seguridad e Inversiones, registros oficiales de muertes para una oficina de registro estatal, registros oficiales datos geofísicos y los sistemas que sustentan el funcionamiento de los enlaces de videoconferencia utilizados por los tribunales federales y estatales, dijo Macquarie Telecom.

«Las lagunas y las consecuencias derivadas del cambio propuesto a la definición son significativas y, dadas las circunstancias, parecen absurdas», agregó.

Además de no estar contento con la enmienda a la definición de «datos críticos para el negocio», Macquarie Telecom dijo que las reformas que se limitan geográficamente a Australia podrían crear desventajas competitivas para los proveedores de almacenamiento de datos cuyos activos se encuentran completamente en Australia.

La compañía explicó que esta desventaja competitiva podría surgir ya que la «brecha jurisdiccional» crearía un incentivo para que todos los tipos de proveedores de infraestructura crítica y sus proveedores trasladen las funciones de almacenamiento y procesamiento de datos al exterior, donde estarán fuera del alcance de las leyes de infraestructura crítica de Australia.

También dijo que el límite geográfico significa que las leyes de infraestructura crítica de Australia no contienen un mecanismo para proteger las cargas de trabajo de datos críticos significativos a nivel nacional para que no se transfieran al extranjero, donde podrían estar fuera de la jurisdicción de Australia.

«No se ha explicado la razón fundamental para excluir los activos críticos de almacenamiento y procesamiento de datos australianos ubicados en el extranjero. Es un marcado contraste con el enfoque adoptado en otras leyes, que se aplican expresamente a los datos almacenados en el extranjero», dijo Macquarie Telecom.

Las reformas de infraestructura crítica del gobierno federal se encuentran junto con el plan de acción de ransomware como sus principales esfuerzos regulatorios para reforzar la postura de seguridad cibernética de Australia. Etiquetado por el secretario del Interior, Mike Pezzullo, el mes pasado como la «defensa» del gobierno contra las amenazas cibernéticas, con el plan de acción de ransomware como «delito», dijo que el proyecto de ley SLACIP idealmente crearía un marco de infraestructura crítica estandarizado para permitir que las agencias de inteligencia de Australia se acerquen ciberataques de manera precautoria debido a la información adicional que recibiría.

Deja un comentario