بنا بر قوانین استاندارد امنیت اطلاعات CPS-234 شرکتهای تحت نظارت سازمان تنظیم مقررات احتیاطی استرالیا باید مسئولیت اطمینان از حفظ امنیت اطلاعات در سازمان خود را بر عهده بگیرند.
طبق قوانین این استاندارد، نهادهای تحت نظارت باید پس از مطلع شدن از حوادث امنیتی در سازمان خود در اسرع وقت و ظرف ۷۲ ساعت به سازمان تنظیم مقررات احتیاطی استرالیا اطلاع دهند.
جف سامرهیز عضو سازمان تنظیم مقررات احتیاطی استرالیا، در کنفرانس CyBSA گفته است که این قانون تاکنون به سازمان تنظیم مقررات احتیاطی استرالیا برای ارائه راهحلهای مختلف در مواجهه با خطرات و مشکلات، کمکهای گوناگونی کرده است. بسیاری از اطلاعیههای ارسال شده مربوط به نقض اطلاعاتی و افشای اطلاعات شخصی کاربران در نتیجه خطای انسانی، از جمله افشای تصادفی اطلاعات هنگام ارسال اطلاعات مشتری توسط کارمندان بوده است.
موارد دیگر نیز شامل در معرض خطر قرار گرفتن اطلاعات کارمندان و مشتریان در نتیجه دستکاری تایید نشده اسناد، دیفیس شدن وبسایت و کلاهبرداریهای سایبری بوده است.
به گفته سامرهیز عدم وجود راهحلهای صحیح امنیتی و شیوههای مدیریت ضعیف دسترسی نیز باعث به وجود آمدن برخی از این حوادث بوده است. بر اساس این بخشنامه جدید، یک نهاد تحت نظارت سازمان تنظیم مقررات احتیاطی استرالیا باید نقشهای مربوط به امنیت اطلاعات و مسئولیتهای سازمان، مدیریت ارشد، دستگاههای حاکم و اشخاص دیگر را بهطور دقیق تعریف کند.
وظیفه سازمان تنظیم مقررات احتیاطی استرالیا، اطمینان از انعطافپذیری نهادها در برابر حملات سایبری و ایستادگی در برابر آنها با استفاده از قابلیتهای شناسایی حوادث، توقف و پاسخدهی است. همچنین این سازمان در حال تقویت قابلیتهای خود به منظور ارزیابی انعطافپذیری سایبری نهادهای تحت نظارت است و تنها در هنگام نیاز از سرویسهای شخص ثالث استفاده میکند.
توضیحات بیشتر در:
- APRA received 36 infosec breach notifications from financial services boards