В понедельник начались парламентские слушания по предлагаемым новым законам, которые дадут Оттаве полномочия контролировать готовность поставщиков критически важной инфраструктуры к кибербезопасности, при этом правительство быстро дало понять, что оно чувствительно к жалобам на объем информации, которую компании, возможно, придется предоставить бюрократам.
Комитет выделил депутатам час для обсуждения законопроекта C-26, который внесет поправки в Закон о телекоммуникациях, контролирующий телекоммуникационные компании, и создаст Закон о защите критически важных киберсистем (CCSPA). Оба документа обязывают назначенных поставщиков критически важной инфраструктуры иметь планы кибербезопасности и сообщать о нарушениях мер безопасности в Управление коммуникационной безопасности (CSE), подразделение Министерства обороны, отвечающее за безопасность правительственных сетей, а также, через Канадский центр кибербезопасности, консультирование частный сектор и государственные ведомства по вопросам кибербезопасности.
Первоначально будут охвачены лишь несколько критически важных секторов инфраструктуры (банковское дело, телекоммуникации, межпровинциальные трубопроводы и поставщики энергии).
В своем вступительном слове перед депутатами Сами Хури, глава Киберцентра, сообщил парламентскому комитету общественной безопасности, что «мы осознаем обеспокоенность по поводу конфиденциальности, высказанную некоторыми группами заинтересованных сторон в отношении требований о предоставлении информации о киберинцидентах в CSE.
«CSE и Киберцентр несут важную ответственность за защиту конфиденциальности и личной информации канадцев, и мы относимся к этому очень серьезно».
Однако сразу после того, как Хури закончил свое выступление, консерваторы внесли предложение, требующее от комитета вызвать свидетелей из правительства и частного сектора для расследования недавнего роста угонов автомобилей в стране. Двум представителям консерваторов по этому предложению потребовалось 34 минуты, прежде чем предложение либералов отложить дебаты по этому требованию было принято 6 голосами против 5.
У членов комитета тогда было всего около 10 минут, чтобы задать вопросы свидетелям правительственного ведомства по C-26, прежде чем комитет закрылся на день.
За это время Келли-Энн Гибсон, директор отдела политики киберзащиты CSE, сообщила членам парламента, что CSE знает, что конфиденциальность личной информации и информации о киберугрозах, которую компании должны предоставить правительству в случае кибернарушений или рисков, является «ключевым фактором». » для частного сектора.
«Защита конфиденциальной информации лежит в основе этого законодательства», — сказала она, — «потому что, если компании и операторы не чувствуют, что мы собираемся защищать информацию, они не будут делиться ею. Итак, вы видите в законодательстве конкретные положения, определяющие конфиденциальную информацию, ее защиту, и есть последствия, если мы или другие лица не защитят эту конфиденциальную информацию».
Федеральные эксперты уже много лет встречаются за закрытыми дверями с поставщиками критически важной инфраструктуры, которые охватывают все сектора Канады, кроме розничной торговли и гостиничного бизнеса, чтобы улучшить их способность противостоять кибератакам. Однако никакое законодательство не обязывает их к конкретным действиям.
Международное законодательство
По мере роста кибератак на больницы, банки, коммунальные предприятия и других поставщиков критически важной инфраструктуры по всему миру, некоторые правительства начинают регулировать кибербезопасность в частном секторе.
В 2021 году — после атаки программы-вымогателя Colonial Pipeline — президент США Джо Байден подписал Меморандум о национальной безопасности (NSM) об улучшении кибербезопасности для критически важных систем управления инфраструктурой, поручив Министерству внутренней безопасности Агентству по кибербезопасности и безопасности инфраструктуры (CISA) и Министерству торговли Национальный институт стандартов и технологий (NIST) разработает цели по обеспечению кибербезопасности для компаний, занимающихся критически важной инфраструктурой.
Затем, в 2022 году, он подписал Закон об информировании о киберинцидентах в критической инфраструктуре (CIRCIA), обязывающий определенные фирмы сообщать CISA о киберинцидентах и платежах, связанных с программами-вымогателями. Окончательные правила раскрытия информации должны быть установлены к сентябрю 2025 года.
В 2018 году Австралия приняла Закон о безопасности критической инфраструктуры. Он создает Реестр активов критической инфраструктуры, в котором компании критической инфраструктуры должны предоставлять правительству информацию о своей эксплуатации и собственности. Фирмы также должны сообщать о киберинцидентах, которые влияют на предоставление основных услуг, в Австралийский центр кибербезопасности и принять письменную программу управления рисками.
Канадский законопроект C-26
Согласно предложенным законопроектом C-26 изменениям в Законе о телекоммуникациях, такие операторы связи, как Bell, Rogers и Telus, могут быть обязаны приказом совета, то есть федерального кабинета министров, сделать все необходимое для защиты своих систем. Это включает, например, удаление взломанного сервера или маршрутизатора, о котором известно, что он подвержен уязвимости нулевого дня.
CCSPA потребует от назначенных операторов, таких как банки и межпровинциальные коммунальные предприятия, создавать и реализовывать программы кибербезопасности, если они еще этого не сделали, снижать риски цепочки поставок и третьих сторон, сообщать об инцидентах кибербезопасности в CSE, обмениваться информацией с правительственные учреждения и соблюдать директивы по кибербезопасности.
Правительственные чиновники заявили, что детали того, что придется делать компаниям, будут конкретизированы в правилах, созданных – после консультаций с частным сектором – после принятия закона. Это будет включать в себя то, какие программы кибербезопасности должна иметь критическая инфраструктура, сколько фирмы должны будут рассказывать правительству о своих программах кибербезопасности и как они принимают «разумные шаги» для снижения рисков кибератак через третьи стороны, такие как партнеры и поставщики.
Хури подчеркнул важность законопроекта во время своего вступительного слова, отметив, что законопроект C-26 «является важным следующим шагом, который предоставляет правительству новые инструменты и полномочия для лучшего укрепления обороны, повышения безопасности в регулируемых на федеральном уровне отраслях промышленности, а также защиты канадцев и критически важных канадских граждан». инфраструктуру от киберугроз. Этот закон также создаст нормативную базу для усиления кибербезопасности служб и систем, которые жизненно важны для национальной и общественной безопасности, а также предоставит правительству новые полномочия издавать директивы по кибербезопасности для реагирования на возникающие киберугрозы.
«В Киберцентре это облегчит обмен информацией [from designated firms] по мере необходимости для защиты критически важной инфраструктуры и расследования зарегистрированных инцидентов, а также предоставления рекомендаций по смягчению последствий. [to the private sector]. Это также позволит регулирующим органам запрашивать советы, рекомендации или услуги у CSE, предоставляя информацию о программе кибербезопасности назначенного оператора и снижении рисков, связанных с цепочкой поставок или использованием сторонних продуктов и услуг».
2024-01-30 18:14:31
1707100956
#Правительство #обещает #решить #проблемы #корпоративной #конфиденциальности #предлагаемом #законе #кибербезопасности