A finales del año pasado, Australia Ley de enmienda de la legislación de seguridad (infraestructura crítica) de 2021 se convirtió en ley para otorgar al gobierno poderes de «último recurso» para dirigir una entidad al responder a ataques cibernéticos, lo que incluía la introducción de un régimen de informes de incidentes cibernéticos para activos de infraestructura críticos.
Esas leyes se redactaron originalmente para tener un alcance más amplio, y Asuntos Internos proponía otras obligaciones para las organizaciones dentro de los sectores de infraestructura crítica.
Sin embargo, las disposiciones que buscaban consagrar esas obligaciones finalmente se dejaron de lado y el gobierno federal decidió seguir una recomendación hecha por el Comité Parlamentario Conjunto de Inteligencia y Seguridad (PJCIS) para que esos aspectos omitidos se introdujeran en un segundo proyecto de ley.
Ese segundo proyecto de ley, Proyecto de Ley de Enmienda de la Legislación de Seguridad (Protección de Infraestructura Crítica) 2022fue presentado al Parlamento por la ministra del Interior, Karen Andrews, la semana pasada.
En este segundo proyecto de ley, el gobierno federal busca introducir programas de gestión de riesgos para entidades de infraestructura crítica y obligaciones mejoradas de seguridad cibernética para aquellas entidades más importantes para las naciones, que incluyen proporcionar informes de información del sistema y evaluaciones de riesgos a la Dirección de Señales de Australia (ASD) .
La obligación del programa de gestión de riesgos, si se convirtiera en ley, se aplicaría a entidades dentro de los 11 sectores clasificados como sectores de infraestructura crítica en el primer proyecto de ley. Mientras tanto, las obligaciones mejoradas de seguridad cibernética se aplicarían a un subconjunto más pequeño de entidades que poseen activos clasificados como sistemas de importancia nacional.
El lunes por la mañana, ante las Estimaciones del Senado, el secretario de Asuntos Internos, Mike Pezzullo, dijo que el proyecto de ley ante el Parlamento crearía un marco de infraestructura crítica estandarizado para permitir que el ASD aborde los ataques cibernéticos de manera preventiva debido a la información adicional que recibiría.
«Hasta ahora, no hemos tenido una nomenclatura común, no hemos tenido cadencias de informes comunes, no hemos tenido umbrales de informes comunes. Si se aprueba el segundo proyecto de ley, obviamente, estamos en manos del Parlamento, ¿qué eso hará es proporcionar un marco estandarizado para regular y operar en los 11 sectores designados», dijo Pezzullo.
También comparó el par de leyes de infraestructura crítica con la «defensa» de Australia contra los ataques cibernéticos, mientras que el plan nacional de ransomware actúa como la «delito».
«Tienes que ir a la ofensiva, que es a donde te lleva el plan de acción del gobierno contra el ransomware. También tenemos que jugar a la defensiva, es decir, tienes que mitigar el riesgo tanto como puedas porque hoy el vector de ataque es el ransomware Los actores criminales y estatales que usan ransomware, una vez [it’s been thwarted]entonces encontrará otra manera», dijo.
Asuntos Internos también hizo una presentación al Comité Parlamentario Conjunto de Inteligencia y Seguridad (PJCIS), que inició una nueva investigación para examinar el proyecto de ley el mismo día que se presentó al Parlamento.
En la presentación, Asuntos Internos dijo que el costo para que cada entidad ejecute el programa de gestión de riesgos, en promedio, consistiría en 9,7 millones de dólares australianos únicos para establecerlo y un costo continuo anual de 3,7 millones de dólares australianos.
Debido al costo y la carga regulatoria adicional que el proyecto de ley impondría a estas entidades de infraestructura crítica, que incluyen universidades, Home Affairs dijo que ha estado trabajando en estrecha colaboración con expertos de la industria y partes interesadas de todos los sectores designados para encontrar la mejor manera de manejar esa carga regulatoria.
Asuntos Internos dijo que el programa se redactó luego de más de 100 compromisos con esos expertos y partes interesadas.
Más tarde ese mismo día, otro representante de Asuntos Internos proporcionó a Estimaciones del Senado más información sobre su búsqueda de un proveedor para realizar el trabajo en los servicios de comparación de identidad del país. El subsecretario de Resiliencia Nacional y Ciberseguridad de Asuntos Internos, Marc Ablong, dijo que la búsqueda de su departamento es un proveedor para administrar los servicios de coincidencia de identidad del país y la infraestructura subyacente.
«No se trata de avanzar en los servicios de coincidencia de identidad más allá de lo que actualmente tenemos aprobado», dijo Ablong.
Los servicios de verificación de identidad del país actualmente constan de tres componentes, uno de los cuales es el DVS, un servicio nacional en línea que se utiliza para verificar en tiempo real si un documento de prueba de identidad en particular es auténtico, preciso y está actualizado. Los otros dos son un centro de servicios de coincidencia de rostros y una solución de reconocimiento facial de licencia de conducir nacional.
«[Home Affairs] no recopila las imágenes, ni tenemos una base de datos de esas imágenes. Todos se mantienen dentro del registro estatal”, agregó, al explicar el mandato del departamento para estos servicios.
Otros movimientos de Asuntos Internos incluyeron la confirmación de que mañana se lanzará una versión de la Declaración Digital de Pasajeros (DPD), que será el primer caso de uso que se construirá en la Plataforma de Capacidad de Permisos.
Cuando se anunció por primera vez la DPD, el gobierno federal dijo que la DPD reemplazaría la actual Declaración de viaje de Australia (ATD) y la tarjeta de pasajero entrante en papel. Sin embargo, para el lanzamiento de mañana, el DPD solo reemplazará el ATD COVID-19 por el momento, con la transición de reemplazar la tarjeta de pasajero entrante en una fecha posterior.
Funcionalmente, el DPD se vinculará con el código QR del certificado de vacunación de una persona y capturará información esencial hasta 72 horas antes de que una persona aborde un avión. Si bien el DPD se lanzará mañana, los viajeros aún deberán presentar sus declaraciones de viaje utilizando el ATD hasta el final de esta semana con la nueva forma de presentación que estará disponible a partir del 18 de febrero en adelante.
Actualizado a las 6:23 p. m. AEST, 14 de febrero de 2022: Se agregó información sobre el lanzamiento de DPD.
Cobertura relacionada
Asuntos Internos publica segundo Proyecto de Ley de Infraestructura Crítica con obligaciones pendientes
Este nuevo proyecto de ley contiene obligaciones que fueron excluidas de la Ley de Enmienda de la Legislación de Seguridad (Infraestructura Crítica) de 2021.
El proyecto de ley de infraestructura crítica debe dividirse para otorgar rápidamente poderes de intervención del gobierno: PJCIS
Entre las medidas que el PJCIS quiere que se introduzcan de inmediato se encuentran los poderes de intervención y los requisitos obligatorios de información.
A PJCIS le preocupa que los requisitos de ‘haz lo mejor que puedas’ de TSSR ya no sean suficientes
El comité recomienda que se establezca un grupo de trabajo de seguridad de las telecomunicaciones de Australia, ya que dice que la Ley Telco no es suficiente para proteger a la nación.
PJCIS respalda la expansión de los poderes de supervisión de inteligencia para IGIS y para sí mismo
El PJCIS quiere que sus responsabilidades de supervisión de inteligencia eventualmente se amplíen a la Policía Federal Australiana y AUSTRAC.
Asuntos Internos busca apoyo para construir el sistema de coincidencia de identidad de Australia
Se ha publicado una licitación del gobierno que busca nuevos componentes para construir, implementar y alojar los servicios de comparación de identidad del país.
