Les administrateurs et l’industrie sont menacés par les lois et politiques « réflexes »

Ces nouvelles lois concernent la cybersécurité et obligent les entreprises à signaler les incidents au Centre australien de cybersécurité (ACSC), et donnent également au gouvernement le pouvoir de prendre en charge les opérations lors d’une cyberattaque contre une entreprise jugée essentielle à l’infrastructure nationale.

« Aller à l’intérieur des infrastructures critiques »

M. Bush a déclaré que les règles chevauchaient d’autres régimes de déclaration préexistants et créaient un cauchemar de bureaucratie pour les conseils d’administration. Il a déclaré que les préoccupations de l’industrie concernant les implications des nouveaux pouvoirs du gouvernement avaient également été écartées, la législation ayant été adoptée par la chambre basse avant même d’avoir été renvoyée à la commission parlementaire mixte sur le renseignement et la sécurité.

« Cela permet à un employé du gouvernement d’entrer dans une entité désignée pour une infrastructure critique et d’insérer un logiciel de surveillance dans son organisation, et cela concerne vraiment les entreprises technologiques mondiales qui gèrent des nuages ​​​​mondiaux », a déclaré M. Bush.

« L’idée que quelqu’un du gouvernement puisse entrer avec un disque dur ou une clé USB et insérer un logiciel dans les nuages ​​mondiaux est naturellement très préoccupante. C’est préoccupant pour les entreprises technologiques, les entreprises énergétiques, les entreprises de vente au détail et les banques de l’ensemble de l’économie.

Cependant, il a déclaré que c’était le chevauchement réglementaire qui inquiétait le plus les entreprises et que les conseils d’administration étaient menacés de poursuites en raison des difficultés de mise en conformité.

Au cours des 12 derniers mois, le commissaire à la sécurité en ligne, le ministère de l’Intérieur, le département du procureur général, le Trésor, le bureau du commissaire australien à l’information (OAIC), l’agence de transformation numérique ont procédé à des révisions et à de nouvelles lois couvrant le secteur de la technologie. et le Centre australien de cybersécurité.

Avec les notifications de violation de données, la Loi sur la protection des renseignements personnels oblige les entreprises à signaler à l’OAIC les violations de renseignements personnels, qu’elles résultent d’un cyberincident ou d’une erreur humaine. Cependant, en vertu des nouvelles règles sur les infrastructures critiques, toute violation liée à la cybersécurité devra également être signalée à l’ACSC au sein de la Direction australienne des signaux.

L’AIIA pense qu’il est déraisonnable de s’attendre à ce que les entreprises se préoccupent de deux exigences de déclaration différentes, avec des agences différentes et avec des délais différents, à un moment où elles devraient se concentrer sur la récupération après un cyberincident.

« Un bâton très lourd »

En plus de cela, le ministère de l’Intérieur a lancé une consultation de l’industrie sur les nouvelles obligations proposées en matière de signalement des ransomwares qui s’appliqueront à toutes les entreprises australiennes dont les revenus sont supérieurs à 10 millions de dollars par an.

« Selon la gravité d’une attaque, les entreprises devront signaler les détails du ransomware à l’ACSC dans les 12 heures, et lorsque vous demandez aux bureaucrates quel est le but, ils disent que c’est pour qu’ils puissent recueillir plus d’informations sur ce qui se passe. « , a déclaré M. Bush.

« C’est une ambition louable, mais c’est un bâton et un levier très lourds qu’ils mettent sur l’économie et sur les entreprises juste pour obtenir des informations qu’ils auront déjà une bonne vue sur le projet de loi sur les infrastructures essentielles. »

L’AIIA propose un conseil des régulateurs de la technologie, qui travaillerait sur un principe similaire au Conseil des régulateurs des services financiers qui siège au sein de l’Australian Prudential Regulation Authority, de l’Australian Securities and Investments Commission, du Trésor australien et de la Reserve Bank of Australia pour assurer une réglementation financière efficace et efficiente.

« Nous dirions que les personnes concernées qui créent des lois et des politiques qui régissent le secteur de la technologie devraient se réunir et travailler sur toute nouvelle réglementation et l’industrie doit faire partie de ce processus », a déclaré M. Bush.

« Cela mettrait fin à cette réponse assez cloisonnée et instinctive aux problèmes à mesure qu’ils surviennent … Si vous obtenez de meilleurs résultats politiques et que l’industrie l’approuve, alors c’est bon pour le gouvernement. »