AWS и Google говорят, что законы о киберпоглощении могут ухудшить реагирование на инциденты

Источник · Перевод автора

«Здесь должно происходить партнерство, а не принуждение».

Amazon Web Services и Google раскритиковали предлагаемые полномочия, которые позволят правительству защищать сети поставщиков критически важной инфраструктуры, утверждая, что такое вмешательство может усугубить инцидент.

Перед расследованием законопроекта о внесении поправок в законодательство о безопасности (критическая инфраструктура) в четверг представители выразили озабоченность по поводу широких полномочий и того, должны ли они применяться к сектору обработки данных.

Оба провайдера ранее поднимали вопросы по поводу законопроекта, в частности, способность Австралийского управления сигналов защищать сети и системы критически важной инфраструктуры в исключительных обстоятельствах.

Одной из основных проблем является способность правительства устанавливать программное обеспечение, «получать доступ, добавлять, восстанавливать, копировать, изменять или удалять данные», изменять «функционирование» оборудования или полностью удалять его из помещений частной компании под видом реагирование на инциденты.

Директор по государственной политике ANZ AWS Роджер Сомервилль (Roger Somerville) сообщил Объединенному парламентскому комитету по разведке и безопасности, что существует «исходное предположение … что если что-то плохое случится с критически важной частью инфраструктуры Австралии, то правительство способно вмешаться и исправить это».

«Во многих случаях мы думаем, что существует действительно большой риск вмешательства правительства и непонимания того, как работает регулируемая организация», – сказал он в четверг.

«Это может усугубить ситуацию, создавая новые проблемы безопасности и системные риски в процессе.

«Мы думаем, что это может иметь действительно серьезные последствия для экономики Австралии, и этого следует избегать».

Точку зрения AWS разделяет и Google, а директор группы анализа угроз Шейн Хантли охарактеризовал второстепенные полномочия как «универсальное решение, которое на самом деле не подходит» для глобальных облачных провайдеров.

«Мы можем полностью понять, что в Австралии может быть небольшой провайдер без кибер-возможностей, где могут потребоваться некоторые полномочия», – сказал он.

«Но это совсем другой мир, когда вы говорите о гипермасштабируемых международных облачных провайдерах с тысячами специалистов по безопасности … и очень сложными системами, которые действительно требуют многолетнего опыта, чтобы даже понять, как они работают, прежде чем кто-либо сможет вмешаться».

Хантли, ранее работавший в Австралийском управлении сигналов, особенно критически относился к любой установке правительством программного обеспечения, которое, по его словам, скорее всего, будет использоваться для отслеживания угроз.

«Мы не думаем, что какие-то второстепенные полномочия для установки программного обеспечения при любых обстоятельствах в нашей ситуации сделают что-либо, чтобы улучшить ситуацию, и имеют очень высокую вероятность, если не уверенность, ухудшить положение», – сказал он. сказал.

Он добавил, что собственные инструменты Google для мониторинга, анализа и обнаружения угроз были «лучшим и действительно единственно возможным способом» для мониторинга своих систем.

«Я действительно не могу представить себе ситуацию, когда какое-то программное обеспечение от ASD, которое мы устанавливаем в наши системы, будет даже работать, не говоря уже о безопасности», – сказал он.

Вместо этого Хантли призвал к лучшему обмену информацией об угрозах, включая IP-адреса и сигнатуры вредоносных программ, чтобы Google знал, «что искать», а также к сотрудничеству.

«Здесь должно происходить партнерство, а не принуждение», – сказал он.

Сомервилль, однако, заявил, что AWS «считает, что мы очень мало знаем о том, какое программное обеспечение может быть вынуждено установить в нашей сети».

«Мы просто не понимаем, как правительство, учитывая всю сложность различных активов, могло разумно полагать, что такие полномочия могут быть реализованы быстро, работать эффективно и при этом достичь целей правительства», – сказал он.

Помощник главного юрисконсульта Microsoft Office of Critical Infrastructure Хасан Али также призвал комитет «признать уникальные характеристики» поставщиков облачных услуг.

«Установка любого программного обеспечения, особенно в сложной и взаимосвязанной сети, будет иметь серьезные неблагоприятные последствия», – сказал он.

«Я думаю, что вы говорите о совершенно разных вещах, когда говорите об установке программного обеспечения в локальной среде с одним клиентом.

«Но если сделать это в контексте сектора хранения или обработки данных с поставщиками гипермасштабируемых облаков, это взаимозависимые системы.

«Они привнесут уязвимости, и мы думаем, что это потенциально станет источником рисков для третьих лиц, которые нам, возможно, придется смягчить со стороны правительства, если есть неуверенность в том, как эти полномочия могут быть использованы».