I dibattiti sulla sicurezza informatica in Australia nelle ultime settimane si sono in gran parte incentrati sull'approvazione del controverso disegno di legge sull'assistenza e l'accesso del governo. Ma mentre l'accesso del governo ai messaggi crittografati è un argomento importante, proteggere l'Australia dalle minacce potrebbe dipendere maggiormente dal compito di sviluppare un solido e solido piano di risposta alla sicurezza informatica.

L'Australia ha rilasciato i suoi primi Cyber ​​Incident Management Arrangements (CIMA) per lo stato, territorio e governi federali il 12 dicembre. È un encomiabile passo verso una strategia nazionale di protezione civile globale per il cyberspazio.

Venendo almeno un decennio dopo che la necessità era stata preannunciata per la prima volta dal governo, questo è solo il primo passo di un percorso che richiede molto più sviluppo. Oltre CIMA, il governo deve spiegare meglio al pubblico le minacce uniche poste da incidenti informatici su larga scala e, su tale base, coinvolgere il settore privato e una più ampia comunità di esperti nell'affrontare queste minacce uniche.

L'Australia è poco preparata

L'obiettivo dei nuovi accordi sugli incidenti informatici è ridurre la portata, impatto e gravità di un "incidente informatico nazionale".

Un incidente informatico nazionale è definito di potenziale importanza nazionale, ma meno grave di una "crisi" che farebbe scattare l'Australian Government Crisis Management Framework (AGCMF) del governo.

L'Australia è attualmente impreparata a rispondere a un grave incidente informatico, come gli attacchi Wannacry o NotPetya nel 2017.

Wannacry ha gravemente interrotto il servizio sanitario nazionale del Regno Unito, al costo di 160 milioni di dollari australiani. NotPetya ha chiuso la più grande compagnia di container al mondo, Maersk, per diverse settimane, costando 500 milioni di dollari.

Quando i costi per gli attacchi informatici casuali sono così alti, è fondamentale che tutti i governi australiani abbiano piani di risposta coordinati agli incidenti ad alto rischio. La CIMA definisce le modalità di coordinamento intergiurisdizionale, ruoli e responsabilità, e principi per la cooperazione.

Una crisi informatica di livello superiore che attiverebbe l'AGCMF (un processo che di per sé sembra in qualche modo poco preparato) è quella che "... si traduce in un'interruzione prolungata dei servizi essenziali, grave danno economico, una minaccia alla sicurezza nazionale o la perdita della vita”.

Più esperti informatici ed esercizi sugli incidenti informatici

Con appena sette pagine di lunghezza, in formato opuscolo lucido, il CIMA non delinea specifici protocolli di gestione degli incidenti operativi.

Questo spetterà ai governi statali e territoriali negoziare con il Commonwealth. Ciò significa che i protocolli sviluppati possono essere soggetti a priorità di bilancio concorrenti, appetito politico, livelli divergenti di maturità informatica, e, più importante, requisiti di personale.

L'Australia ha una grave crisi nella disponibilità di personale informatico qualificato in generale. Ciò è particolarmente vero nelle aree specialistiche necessarie per la gestione di incidenti informatici complessi.

Le agenzie governative lottano per competere con le grandi aziende, come le maggiori banche, per le reclute di alto livello.

La crisi delle competenze è esacerbata dalla mancanza di programmi di istruzione e formazione di alta qualità in Australia per questo compito specialistico. Le nostre università, per la maggior parte, non insegnare – e nemmeno ricercare – incidenti informatici complessi su una scala che potrebbe iniziare a soddisfare le esigenze nazionali.

Il governo federale deve agire rapidamente per rafforzare e formalizzare accordi per la collaborazione con i principali partner non governativi, in particolare il settore delle imprese, ma anche ricercatori e grandi enti no profit.

Fornitori di infrastrutture critiche, come le società elettriche, dovrebbe essere tra le prime aziende mirate alla collaborazione a causa della portata delle potenziali ricadute se venissero attaccate.

Per aiutare a raggiungere questo obiettivo, CIMA delinea i piani per istituzionalizzare, per la prima volta, esercitazioni periodiche sugli incidenti informatici che rispondono alle esigenze a livello nazionale.

È necessaria una migliore pianificazione a lungo termine

Anche se queste mosse sono un buon inizio, ci sono tre compiti a lungo termine che richiedono attenzione.

Primo, il governo deve costruire un coerente, narrativa pubblica credibile e duratura sullo scopo delle sue politiche sugli incidenti informatici, e relativi programmi di allenamento.

L'ex ministro della sicurezza informatica Dan Tehan ha parlato di un'unica tempesta informatica, l'ex primo ministro Malcolm Turnbull ha parlato di una tempesta cibernetica perfetta (diverse tempeste insieme), e il coordinatore informatico Alastair McGibbon ha parlato di una catastrofe cibernetica come l'unica minaccia esistenziale che l'Australia ha affrontato.

Ma c'è poca articolazione nel pubblico dominio di ciò che queste idee realmente significano.

I nuovi accordi di gestione degli incidenti informatici sono pensati per operare al di sotto del livello della crisi informatica nazionale. Ma il Paese ha un disperato bisogno di una strategia di protezione civile per il cyberspazio che affronti entrambi i livelli di attacco. Non vi è alcuna menzione significativa di minacce informatiche nel sito web dell'Australian Disaster Resilience Knowledge Hub.

Questa è una forma completamente nuova di protezione civile, e potrebbe aver bisogno di una nuova forma di organizzazione per portarla avanti. Una nuova, braccio dedicato di un'agenzia esistente, come i Servizi di emergenza statali (SES), è un'altra possibile soluzione.

Uno di noi (Greg Austin) ha proposto nel 2016 la creazione di un nuovo "cyber corpo civile". Questo sarebbe un servizio disciplinato che si basa su impegni part-time da parte delle persone più preparate per rispondere alle emergenze informatiche nazionali. Un corpo cibercivile potrebbe anche aiutare a definire le esigenze di formazione e contribuire ai pacchetti di formazione nazionali.

Il secondo compito spetta alle imprese private, che affrontano costi potenzialmente paralizzanti in attacchi informatici casuali.

Dovranno costruire il proprio corpo di competenze in simulazioni ed esercitazioni cibernetiche. Affidare tali responsabilità a società di consulenza, o rapporti una tantum, produrrebbe risultati sporadici. Eventuali "lezioni apprese" all'interno delle aziende sulla gestione delle emergenze potrebbero non essere consolidate e condivise con la più ampia comunità imprenditoriale.

Il terzo compito di tutte le parti interessate è mobilitare una comunità della conoscenza in espansione guidata da ricercatori del mondo accademico, governo e il settore privato.

Ciò che esiste al momento è minimalista, e sembra ostaggio delle preferenze di una manciata di alti funzionari dell'Australian Cyber ​​Security Center (ACSC) e del Dipartimento degli affari interni che potrebbero non essere in carica entro diversi anni.

La protezione civile informatica è responsabilità dell'intera comunità. L'Australia ha bisogno di un comitato nazionale permanente per la gestione e la resilienza delle emergenze di sicurezza informatica che sia un partenariato equo tra governo, attività commerciale, e specialisti accademici.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.