澳大利亚正在拟定一项“全球首创”的网络安全法律,赋予情报机构——澳大利亚信号局(ASD)接管国内任何关键基础设施(企业)计算机系统的权力,一旦个人或企业拒绝联邦机构的要求,将遭到逮捕或罚款等严厉惩罚。
- 2020年4月:黑客袭击以色列的供水系统,频频发起攻击并试图改变水氯含量,影响用水人民的生命健康,但所幸并未成功。
- 2020年5月:伊朗的Shahid Rajaei港口的计算机系统遭受疑似以色列发起的“报复”性网络攻击。港口的移动瘫痪,导致汽车堆积数公里,船只滞留在港口,运输陷入长达数天的混乱。
- 2021年4月:DarkSide勒索软件团伙攻击了美国主要的燃料运输商佐治亚州殖民地管道公司(Colonial Pipeline),该公司的燃油运输系统被迫关闭。最后向Darkside支付了近500万美元赎金。
- 2021年5月:绿色能源技术公司Volue遭到勒索软件攻击,导致挪威全国200个城市的水处理设施关闭。
- 2021年5月:全球最大的肉类加工公司巴西JBS遭到俄罗斯网络犯罪集团REvil的攻击,关闭了在澳大利亚、美国和加拿大的工厂五天。该公司后来证实,它支付了1420万美元的赎金使其系统被释放。
- 2021年8月:意大利拉齐奥地区的Covid-19疫苗调度网站在遭受严重网络攻击后被迫关闭。调查发现是臭名昭著的犯罪勒索软件团伙RanexX所为,此次攻击推迟了疫苗的推出。
- ……
虽然全球各国对于关键基础设的安全问题从未放松警惕,但攻击依旧不可避免,来自地缘政治的目的性攻击和勒索犯罪团伙的攻击,使得多个国家对关键基础设施相关战略性工作不断推进。
网络威胁下,新的法律将容许澳政府动用“非同寻常的最后手段”,也被视作全球各国网络监管“最严厉的手段”。
- 新法律将授权情报机构——澳大利亚信号局(ASD)强制进入一家企业,如果个人没有对ASD关于如何应对网络攻击的命令作出回应,则将被逮捕并被判处两年监禁以及26640澳元罚款,相关公司也会面临数额高达13.32万澳元的罚款。这项措施不仅针对公司首席执行官,也可能针对负责管理网络安全的员工(如公司首席信息安全官)。
- 新法律所涵盖的关键基础设施行业范围广泛。2020年《安全立法修正案(关键基础设施)法案》将把11个行业——通信、金融服务和市场、数据存储或处理、国防工业、高等教育和研究、能源、食品和杂货、保健和医疗、空间技术、运输、水和污水处理纳入管辖范围,此外还包括电力、天然气、水和港口等已经被认为对澳大利亚国家安全至关重要的行业。
议会情报和安全联合委员会刚刚完成了对该法案的调查,并建议将该法案拆分实施。法律的第一部分会在两周内推出,将把11个新行业纳入关键资产法案,要求相关企业报告所遭受的任何网络攻击,并且允许ASD作为最后手段介入调查。法案的后半部分要求公司提高网络安全水平,不过在企业强烈反对后,该法案将被转交进一步磋商。
