Pesquisa de site

O que é a Lei de Segurança de Infraestrutura Crítica de 2018 (Lei SOCI de 2018)?

A Austrália está usando a Lei de Segurança de Infraestrutura Crítica de 2018 (Lei SOCI de 2018) como uma estrutura para ajudar o país a mitigar e remediar ameaças à infraestrutura crítica do país. Isso ocorre depois que vários ataques cibernéticos de alto perfil aumentaram a conscientização da Austrália sobre a necessidade de segurança cibernética e a padronização de medidas de segurança cibernética para organizações prioritárias.

A Lei de Emenda à Legislação de Segurança (Infraestrutura Crítica) de 2021 foi posteriormente introduzida como uma emenda à Lei SOCI, e isso foi ainda mais fortalecido pela Lei de Emenda à Legislação de Segurança (Proteção de Infraestrutura Crítica) de 2022 (SLACIP) em abril de 2022.

A lei e suas emendas podem ser visualizadas no Registro Federal de Legislação da Austrália. Combinados, eles tiveram um impacto significativo na conscientização, preparação e resiliência da Austrália diante de ameaças cibernéticas cada vez mais frequentes e sofisticadas.

Esta postagem fornecerá uma visão geral dos recursos e considerações mais importantes da histórica Lei SOCI, as mudanças para melhorar a segurança cibernética da infraestrutura crítica da Austrália e uma ideia do impacto da legislação nas políticas e procedimentos australianos de segurança cibernética.

Emendas SLACIP à Lei SOCI de 2018

O SLACIP fez algumas alterações na Lei SOCI de 2018 para introduzir algumas novas medidas-chave para o gerenciamento de riscos cibernéticos:

Identificação de Sistemas de Importância Nacional

Um dos objetivos desta emenda SLACIP ao SOCI é aprimorar as práticas de segurança mínimas aceitáveis para entidades de infraestrutura crítica.

O governo australiano determinou que o SOCI e as emendas do SLACIP se aplicarão às seguintes entidades de infraestrutura crítica que identificou:

  • Transmissão crítica
  • Ativos críticos de armazenamento e processamento de dados
  • Certos ativos críticos de defesa
  • Ativos críticos do sistema de nomes de domínio
  • Ativos críticos de energia, incluindo eletricidade, água, gás e ativos de combustível líquido
  • Os ativos do setor de serviços financeiros são divididos em serviços bancários críticos, seguros críticos, infraestrutura crítica do mercado financeiro e ativos críticos de aposentadoria
  • Ativos essenciais para alimentos e mercearias
  • Infraestrutura crítica de frete
  • Ativos críticos específicos de saúde

Após a adição da parte 6A à Lei SOCI, o Ministro do Interior pode declarar um ativo de infraestrutura crítica de importância nacional como um sistema de importância nacional, considerando o impacto potencial de um ataque cibernético nos seguintes critérios:

  • Segurança nacional
  • A defesa do país
  • Estabilidade social
  • Estabilidade econômica

O ativo nomeado não precisa atuar nacionalmente ou atender a todo o país. Mesmo quando esse não é o caso, entende-se que um ativo e sua função podem, no entanto, ter significado nacional.

Ao nomear um ativo como um sistema de importância nacional, o Ministro deve reconhecer a interconexão desse ativo com outros ativos e sistemas.

Um motivo pelo qual o impacto de uma violação de dados de terceiros ou de um ataque à cadeia de suprimentos pode ser tão devastador é que um único ataque afeta muitas organizações e indivíduos conectados à rede comprometida, seja por meio de relacionamentos com clientes, parcerias comerciais ou dependência do fornecimento de bens e serviços que mantêm um ecossistema de negócios.

Uma vez que um ativo tenha sido nomeado um sistema de importância nacional, ele deve atender aos seguintes requisitos:

  • Avaliações de vulnerabilidade
  • Planejamento de resposta a incidentes
  • Exercícios de cibersegurança
  • Obrigações de comunicação à Diretoria de Sinais da Austrália

Planejamento de gerenciamento de riscos

De acordo com o SOCI, as entidades de infraestrutura crítica devem implementar um programa de gerenciamento de risco apropriado. Uma abordagem baseada em risco significa que a organização considerará:

  • Os potenciais agentes de ameaças que podem afetar sua segurança da informação
  • Os riscos cibernéticos que podem afetar a segurança da informação
  • O impacto potencial desses riscos e ameaças para o negócio de infraestrutura crítica e o ecossistema de negócios
  • A probabilidade de cada incidente ocorrer

Ao buscar informações claras sobre os riscos de segurança cibernética e priorizar adequadamente, as organizações podem começar com os esforços de mitigação e correção de vulnerabilidades que têm o maior impacto.

Notavelmente, a emenda SLACIP esclarece que o programa de gerenciamento de riscos deve existir por escrito e que deve ser um documento vivo e em evolução que muda com a organização, os resultados das auditorias e os desenvolvimentos no cenário de ameaças cibernéticas.

Um conjunto robusto de práticas de segurança cibernética é mais do que defesa contra ameaças conhecidas. Não é apenas reativo a ameaças, mas também proativo na identificação de vulnerabilidades e exposições.

Uma empresa com uma estrutura madura de segurança cibernética toma medidas para prever e se preparar para novas ameaças e está disposta a colaborar com outras entidades para proteger a si mesma e ao ecossistema de negócios mais amplo dos crescentes riscos cibernéticos.

Após a identificação de riscos, ameaças e vulnerabilidades cibernéticas, a infraestrutura crítica deve passar por um processo contínuo de mitigação de ameaças e correção de vulnerabilidades.

Relatório anual

A responsabilidade é um aspecto vital de qualquer programa de gerenciamento de riscos. Os proprietários ou operadores de infraestrutura crítica identificados pelo governo australiano devem se reportar ao Departamento de Assuntos Internos ou ao regulador designado dentro de 90 dias do ano financeiro.

Para organizações de infraestrutura crítica, o relatório anual deve incluir as seguintes informações:

  • Identificou perigos que tiveram um impacto significativo
  • Se o programa de gerenciamento de riscos da organização foi atualizado ou não até o final do ano fiscal
  • Se o programa de gerenciamento de riscos foi atualizado ou não devido à ocorrência de um perigo identificado
  • Uma avaliação do programa de gerenciamento de riscos com relação ao enfrentamento de riscos e ameaças materiais identificados

Se algum ativo permanecer desprotegido por um programa de gerenciamento de riscos de infraestrutura crítica, a entidade responsável deve detalhar os motivos pelos quais está isento, os riscos e ameaças que o afetaram e quais medidas de segurança foram tomadas como resultado.

Informação do sistema

O Secretário de Assuntos Internos australiano pode emitir três tipos de avisos para relatórios sobre segurança cibernética e sistemas de informação das entidades responsáveis. Pode:

  • Exigir relatórios periódicos sobre o uso de um computador
  • Exija que um relatório seja enviado sempre que ocorrer um evento específico
  • Exigir a instalação de um programa de computador que compartilhe informações com a Diretoria de Sinais da Austrália, caso a entidade não possa preparar os relatórios necessários por motivos técnicos

Penalidades por não conformidade com SOCI e SLACIP

As penalidades civis por não conformidade podem chegar a US$55.000 para cada incidente.

No entanto, os problemas associados a violações de dados e ataques cibernéticos podem ser mais significativos. Não é incomum que outros fatores aumentem os custos, como pagamentos de resgate, o custo de identificar o ataque em si, isolar código malicioso e reparar danos ao sistema. Pagar multas regulatórias mais altas em caso de não conformidade com regulamentos como GDPR e HIPAA também é comum.

Além desses custos, as empresas que sofrem ataques cibernéticos também devem considerar o preço da interrupção dos negócios. Além disso, os danos à reputação são um fator significativo em violações de dados e ataques cibernéticos, especialmente quando a organização não possui um plano de resposta a incidentes suficiente.

>

Um plano de resposta a incidentes insuficiente ou ausente pode resultar em uma resposta lenta, esforços de correção inadequados, divulgação pública insuficiente e uma falta de transparência potencialmente prejudicial sobre o impacto do ataque e o que a organização fez para corrigi-lo.

Para proteger a segurança, a receita e a reputação nacionais, a infraestrutura crítica deve adotar fortes procedimentos de segurança cibernética apoiados por políticas de segurança da informação documentadas e revisadas e planos de resposta a incidentes.

Como o SOCI afetou a política de segurança cibernética da Austrália

A introdução do SOCI e suas emendas aumentaram a conscientização sobre segurança cibernética em todo o país. Ele ajudou a tornar a segurança cibernética e o gerenciamento de riscos partes centrais da atividade de negócios.

Internacionalmente, é cada vez mais provável que os conselhos e executivos de alto escalão se envolvam com questões de segurança cibernética. Embora os problemas de segurança cibernética já tenham sido considerados da competência de um departamento de TI ou do Chief Information Security Officer (CISO), as organizações em todo o mundo são mais propensas a ver que a segurança cibernética é um problema operacional e uma oportunidade.

Também está ficando mais claro que todos são partes interessadas na proteção de dados e na segurança da informação. Mesmo em casos de ataques cibernéticos por grupos de hackers profissionais organizados, a equipe geralmente desempenha um papel.

Por exemplo, uma tentativa de phishing bem-sucedida é um vetor para ransomware. Um ataque de phishing que engana um membro da equipe para fornecer credenciais de acesso ou informações de identificação pessoal pode levar à introdução de malware no sistema.

Da mesma forma, uma configuração incorreta do servidor pela equipe de TI ou um ataque interno por um funcionário insatisfeito pode levar à exposição de dados que compromete informações confidenciais.

Em reuniões em todos os níveis, é cada vez mais provável que as medidas de risco cibernético e segurança cibernética sejam discutidas e abordadas, levando as organizações australianas à maturidade da segurança cibernética e ao desenvolvimento de culturas de segurança cibernética.

A política sólida e divulgada de segurança cibernética da Austrália inspirou mais empresas - em setores de infraestrutura crítica e além - a priorizar o gerenciamento de riscos, a segurança da informação e as melhores práticas de segurança cibernética.

A política foi apoiada pela ameaça de penalidades civis, enquanto as notícias de violações de dados australianas recentes e significativas ajudaram a definir o tom. Com o SOCI e o ambiente de ameaças cibernéticas em que foi introduzido, mais empresas estão mantendo as melhores práticas de segurança cibernética e adotando uma abordagem de gerenciamento de ameaças cibernéticas para se defender contra ameaças conhecidas e emergentes.

Melhores práticas comuns de segurança cibernética apoiadas pela Lei SOCI de 2018

Gerenciamento de superfície de ataque

O gerenciamento da superfície de ataque (ASM) ajuda as empresas a avaliar a extensão de sua exposição potencial ao risco cibernético e toma medidas para reduzir suas superfícies de ataque e o risco do vetor de ataque. Como cada novo dispositivo, usuário ou ponto de acesso em uma rede aumenta a superfície de ataque de uma organização, é fundamental que as organizações implementem algum tipo de ASM para evitar o risco de violação de dados. Ganhar visibilidade da superfície de ataque e tomar medidas para reduzi-la é uma prática eficaz de segurança cibernética para reduzir o risco cibernético.

Correção de vulnerabilidade

Buscar vulnerabilidades de forma proativa e corrigi-las pode melhorar drasticamente a postura de segurança de uma empresa.

A correção de vulnerabilidades inclui o uso de inteligência de ameaças e recursos de compartilhamento de informações, como a lista de vulnerabilidades e exposições comuns (CVE), para garantir que os problemas conhecidos sejam corrigidos com patches de segurança. Também inclui testes de penetração ativos ou simulações para encontrar pontos fracos antes que os hackers o façam.

Gerenciamento de risco de terceiros (TPRM)

A redação do SOCI e suas emendas promovem uma maior valorização das interdependências entre as organizações, o que é essencial para a implementação de um programa bem-sucedido de gerenciamento de riscos de terceiros.

O risco de terceiros ou do fornecedor pode ser particularmente prejudicial porque os cibercriminosos e hackers visam fornecedores que podem fornecer acesso a dados valiosos e confidenciais e/ou causar interrupções generalizadas devido ao número de organizações que usam seus produtos ou serviços.

O ataque à cadeia de suprimentos da SolarWinds de 2019 é um excelente exemplo da interrupção que os hackers podem causar ao visar um fornecedor de software usado por infraestrutura crítica e empresas de alto perfil. Entre os afetados estavam agências do governo federal, Microsoft, Intel e Cisco.

Planejamento de resposta a incidentes

Embora reduzir o risco e evitar ataques seja um dos pilares da segurança cibernética, a política de segurança cibernética de qualquer empresa também deve incluir algumas diretrizes claras sobre o planejamento de resposta a incidentes. Uma empresa precisa de um plano de resposta a incidentes para que qualquer indivíduo saiba quais ações tomar durante um ataque cibernético.

Como os ataques cibernéticos são mais comuns e as empresas estão mais conectadas, os riscos de um ataque cibernético aumentaram drasticamente e as organizações precisam de algum plano para quando eles acontecerem.

Um plano de resposta a incidentes deve incluir as respostas para vários incidentes cibernéticos de acordo com sua probabilidade e seu impacto potencial, conforme apurado durante um processo de gerenciamento de riscos.

Um plano de resposta a incidentes deve ser:

  • Documentado
  • Facilmente acessível
  • Compreensível por qualquer membro da equipe

O plano de resposta a incidentes também deve alcançar o seguinte:

  • Identifique a equipe de resposta a incidentes
  • Explique as funções e responsabilidades de cada membro da equipe
  • Conter informações de contato precisas
  • Inclua o que constitui uma violação de dados ou incidente cibernético
  • Inclua quem contatar sobre a divulgação de informações para autoridades policiais, reguladores e mídia devido a uma violação de dados

O plano de resposta a incidentes deve ser revisado, testado e atualizado regularmente para garantir que funcione e permaneça relevante em meio a mudanças de pessoal, fluxos de trabalho, sistemas e tecnologia, objetivos de negócios e cenário de ameaças cibernéticas.

Políticas de Segurança da Informação

Os procedimentos e práticas de segurança cibernética geralmente são propensos a interpretações errôneas, lapsos e lacunas quando não são apoiados por políticas documentadas.

As omissões em medidas de segurança podem ser um problema particular em grandes organizações, como instituições de ensino superior, onde os chefes de departamento geralmente se encarregam de suas próprias necessidades e procedimentos de tecnologia da informação.

Práticas e procedimentos padronizados e homogêneos, usando tecnologia acordada, são mais fáceis de gerenciar e manter e, portanto, mais seguros do que permitir que os chefes de departamento façam suas próprias coisas.

Com todos seguindo as mesmas políticas de segurança da informação, uma empresa achará mais fácil atualizar e fortalecer suas práticas em toda a organização.