2019年9月5日,澳大利亚政府于发布了《网络安全战略2020》(征求意见)。该战略是继澳大利亚《网络安全战略2016》4年规划之后出台的最新网络安全战略,2016版战略有2300万美元的资金支持,最新版2020战略预计可能会得到更多的资金支持。
文章仅供参考,观点不代表本机构立场。
澳大利亚就网络安全战略2020向公众征求意见
作者:学术plus高级评论员 张涛
澳大利亚《网络安全战略2016》设置了政府加强网络安全弹性和安全的方案,并有2300万美元的资金支持,构建了澳大利亚网络安全的基础,增强了国家在线威胁感知的能力。
从2016年起,建立了全国范围内的联合网络安全中心,与其他行业一起协作来对主要网络事件进行7×24小时的监控。近期澳大利亚议会网络、大学和其他企业被黑的事件说明网络威胁持续发展。该讨论稿是为了寻求所有澳大利亚公民对增强国家网络安全能力的意见和建议。网络安全会对政府、企业、非赢利机构等全社会带来影响。通过政府、科研机构和企业的协作可以增强国家网络安全能力,确保国家繁荣和保护网络利益。
1.进展
自2016年发布网络安全战略(2016)后,澳大利亚在网络安全方面取得了很大的进展:
设立澳大利亚网络安全中心与政府网络安全人才一起加强应对当前和新出现的威胁的能力。
与企业、政府和学术界加强合作,包括在5个首府城市建立联合网络安全中心。
建立7×24小时的Global Watch来快速应对网络安全事件,启动cyber.gov.au项目作为网络安全建议的一站式解决方案。
通过AustCyber、澳大利亚贸易委员会Landing Pad Program和一个网络安全联合研发中心5000万的投资来支持国内行业发展。
加大对教育和技能培训的投入,包括通过墨尔本大学和伊迪丝考恩大学的网络安全卓越学术中心、国家专业认证和高级学位项目。
2.数字
2017年,网络犯罪分子共从澳大利亚消费者处窃取23亿美元;
2018年4月-2019年3月,共有964起数据泄露事件应当依法向官方报告,其中有超过60%是恶意攻击或犯罪攻击;
澳大利亚在线网络犯罪举报网站在2017-2018财年共收到53474次举报,在2018-2019财年共收到64528次举报;
2016-2017年暗网勒索软件的销量增长了2500%,基本工具的成本低至1美元。
2018年邮件中钓鱼消息的比率增长250%。
澳大利亚身份窃取相关的犯罪带来约21亿美元的经济影响。其中有80%接受了来自IDCare、澳大利亚和新西兰国家身份和网络支持服务。
3.未来的角色
网络安全环境的变化表明必须要明确未来的定位,以更好的阻止、检测和响应威胁。要解决这一问题,首先要确定政府、行业和社会等各方所处的角色。网络安全是各方都面临的问题,因此更要明晰各方所肩负的责任。
联邦、州和各地政府在网络安全方面的角色主要定位为:保护政府网络、执行法律和提供建议。在网络安全事件发生后,受到攻击(入侵)的网络所有者可以邀请政府参与帮助其修复和应对网络安全事件。而企业一般也只要求报告个人信息被黑事件。
目前网络安全的整体形势是终端用户承受着较大的风险,而政府在保护影响国计民生的关键信息系统方面的能力有限。因此目前可行的办法就是:将管理网络安全风险的职责从终端用户转移到企业或行业,以实现网络安全优先。
4.政府定位
另一个值得关注的问题是政府的定位是否应该转变?是否应该为企业预防恶意攻击者来提供更多的帮助?
针对企业的网络攻击的目的众多,包括:知识产权、监控活动等等。在多数情况下,企业可能不足以应对政府背景的攻击活动。而政府最关注的是为国家和人民提供必需服务的企业,比如能源、水、电信和交通行业。
政府的活动是由法律限制的,其活动应保护公民隐私。政府应该在何时,以何种方式来使用其网络安全能力,才能在保持政府可信度同时满足安全的需求。其中最关键的部分在于政府在应对网络犯罪和保护网络安全工作安排是否正确,并将其正式纳入政府的职责范围。
5.企业创新和网络安全
技术部门是当前数字社会和数字经济的基石,是技术直接设计、制造和管理网络体验。全球各地所有涉及到互联网的事物都有可能涉及到业务创新。
政府在私营产业成功方面起到了关键的作用。清晰合理的规则不仅可以保护消费者,还可以使企业免受部分风险。但政府在权利、义务方面也应当有所权衡,因为过多的义务可能会限制创新或降低国际竞争力。
网络商品和服务也催生了很多的安全问题,因此服务提供商应当提供更多保护消费者的能力。但过度保护也可能会影响产品运作,或是提高成本。因此,不得不面临两难的选择:是让消费者避免使用那些高风险的产品,还是让消费者接受风险而获得更多便利?
案例研究A:欧盟网络与信息安全指令
《欧盟的网络信息安全指令》是第一个欧盟范围内的网络安全立法。每个欧盟成员国都必须遵守该指令,而该指令也给予欧盟国家考虑每个国家的特殊情况来重用现有的组织架构或与现有国家立法保持一致。该指令包含三个部分,分别是:
国家能力。即欧盟成员国必须有特定的网络安全能力,比如网络安全应急响应组(CSIRT)。
跨境合作。欧盟成员国必须参与相关的合作论题,比如EU CSIRT网络和战略NIS协作组。
重要领域国家监管。欧盟成员国必须对国家范围内提供必需服务的企业和组织的网络安全能力进行监管。其中包括对能源、交通、水、健康和金融等重要领域的before the fact(事前)监管,和对互联网交换点(Internet Exchange Points)、DNS等关键数据服务提供商的after the fact(事后)监管。
6.可信赖的市场和专业人员
随着对技术的依赖提高,对网络安全标准要求也随之提高。为了维护关键服务的可用性和完整性,对安全产品、服务以及网络安全专业人才的需求也会不断增长。
安全技术、产品、服务和人才的可信赖的市场对增强和改善网络安全至关重要。可信赖的市场意味着开放、透明、多样化和竞争的技术市场,产品提供商提供网络安全保护的标准,产品购买者明确理解其中的风险。数字产品和服务应该在设计中就考虑安全的因素,所以用户不需要任何的专业知识。同样地,企业需要信任其供应商,并在需要的时候得到专业建议。
专业人才是可信市场最重要的部分之一。政府不断收到关于网络安全人才短缺的反馈。AustCyber预计2018年澳大利亚有经验的网络安全人才缺口为2300人。这一数字到2026年会达到17600。相关利益方已经在担心教育和培训系统是否能够满足网络安全人才短缺的问题。另一个问题是对于网络安全工作需要怎么样的资格认证。
7.不利的环境
目前的环境对网络攻击者来说是非常不利的。考虑到网络威胁对经济的巨大影响,政府目前重点关注应急响应过程中的受害者,比如:让攻击者无法接触到受害者。但目前还无法对攻击者进行逮捕,因此需要增强执法能力和人员数量。
案例研究:英国的主动防御模型
英国政府采用主动防御的方法来保护公民。英国政府通过增强网络的防御能力使其对攻击者来说是一个比较难攻击的目标。通过拦截黑客和受害者之间的恶意通信,英国政府可以应对英国网络上的大多数大容量、低复杂度的恶意活动。其战略的重点是预防(事前),而非修复(事后)。
政府在应对大多数国家威胁方面起着重要的作用,行业协作也越来越重要。关键系统和操作系统受到恶意活动影响的风险不断加大,因此政府和行业之间协作的数量也应增加。过去政府主要关注食品、水、健康、能源、通信、交通、银行和公共事业,未来需要扩展到数据中心和在线商城等数字基础设施。
意见征求
该战略征求意见的主要问题集中在:
公众对网络威胁环境的看法?政府应该关注哪些威胁?
公众是否同意战略中关于管理网络风险责任人的理解?
目前的责任分配是否正确?如果不正确,应当如何变化?
政府在解决对位于澳大利亚的机构和企业的最严重的威胁中应该是什么样的角色?
政府在使用其网络安全能力时如何保持信任和信赖?
对网络产品和服务应该应用什么样的保护?
政府和行业在支持消费者的网络安全方面能起到什么样的作用?
政府和行业怎么样增强网络安全和数字产品的安全性、质量和有效性?
政府当前的职能是否可以安全地转移到私营企业?效果如何?
网络安全的治理环境是否合适?为什么?
政府应当考虑哪些特定的市场刺激或治理变化?
如何将网络安全内置于数字产品和服务中?
如何增强ICT供应链的可信?
澳大利亚如何构建高质量的网络安全专业人才市场?
是否有阻碍网络保险市场增长的障碍?如果有,如何解决?
如何减少针对澳大利亚的海量、低复杂性恶意攻击活动?
政府如何创建不利于恶意攻击者的环境?
政府和私营企业如何更好地协作来识别和修复私营网络中的网络风险?
哪些私营网络应当被视为关键系统,需要加强网络防御?
政府可以采用哪些资金模型来对社会提供更多的安全保护?
政府和行业在网络威胁和漏洞信息共享方面存在哪些障碍?
多大程度上同意缺乏网络意识会影响消费者选择和市场提供的产品?
如何使关注网络安全的公众从创造网络安全产品的企业中受益?
有哪些行为改变活动或措施的最佳实践的例子?如何大规模实现和评价?
公众希望在产品或服务中看到网络安全特征吗?
政府在澳大利亚网络安全战略2020中还应该关注哪些?
报告目录如下
下载文件:https://www.homeaffairs.gov.au/reports-and-pubs/files/cyber-security-strategy-2020-discussion-paper.pdf
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。