Os debates sobre a segurança cibernética na Austrália nas últimas semanas têm se concentrado principalmente na aprovação do controverso projeto de lei de assistência e acesso do governo. Mas embora o acesso do governo a mensagens criptografadas seja um assunto importante, proteger a Austrália de ameaças pode depender mais da tarefa de desenvolver um plano de resposta de segurança cibernética sólido e robusto.

A Austrália lançou seu primeiro Acordo de Gerenciamento de Incidentes Cibernéticos (CIMA) para o estado, territórios e governos federais em 12 de dezembro. É um movimento louvável em direção a uma estratégia nacional abrangente de defesa civil para o espaço cibernético.

Vindo pelo menos uma década depois que a necessidade foi prenunciada pela primeira vez pelo governo, essa é apenas a etapa inicial de um caminho que exige muito mais desenvolvimento. Além do CIMA, o governo precisa explicar melhor ao público as ameaças únicas representadas por incidentes cibernéticos em grande escala e, com base nisso, envolver o setor privado e uma comunidade mais ampla de especialistas na abordagem dessas ameaças únicas.

Austrália está mal preparada

O objetivo dos novos acordos de incidentes cibernéticos é reduzir o escopo, impacto e gravidade de um "incidente cibernético nacional".

Um incidente cibernético nacional é definido como sendo de potencial importância nacional, mas menos severa do que uma "crise" que desencadearia a Estrutura de Gerenciamento de Crises do Governo Australiano (AGCMF) do governo.

A Austrália está mal preparada para responder a um grande incidente cibernético, como os ataques Wannacry ou NotPetya em 2017.

Wannacry interrompeu gravemente o Serviço Nacional de Saúde do Reino Unido, a um custo de A $ 160 milhões. NotPetya fechou a maior empresa de transporte de contêineres do mundo, Maersk, por várias semanas, custando A $ 500 milhões.

Quando os custos de ataques cibernéticos aleatórios são tão altos, é vital que todos os governos australianos tenham planos de resposta coordenados a incidentes de alta ameaça. O CIMA estabelece acordos de coordenação interjurisdicional, papéis e responsabilidades, e princípios de cooperação.

Uma crise cibernética de alto nível que acionaria o AGCMF (um processo que por si só parece um pouco mal preparado) é aquela que "... resulta em interrupção sustentada de serviços essenciais, dano econômico severo, uma ameaça à segurança nacional ou perda de vidas. "

Mais especialistas cibernéticos e exercícios de incidentes cibernéticos

Com apenas sete páginas, em formato de brochura brilhante, o CIMA não descreve protocolos de gerenciamento de incidentes operacionais específicos.

Caberá aos governos estaduais e territoriais negociar com a Commonwealth. Isso significa que os protocolos desenvolvidos podem estar sujeitos a prioridades orçamentárias concorrentes, apetite político, níveis divergentes de maturidade cibernética, e, mais importante, requisitos de pessoal.

A Austrália enfrenta uma grave crise de disponibilidade de ciberpessoal qualificado em geral. Esse é particularmente o caso em áreas especializadas necessárias para o gerenciamento de incidentes cibernéticos complexos.

As agências governamentais lutam para competir com grandes corporações, como os grandes bancos, para os recrutas de alto nível.

A crise de habilidades é agravada pela falta de programas de educação e treinamento de alta qualidade na Austrália para essa tarefa especializada. Nossas universidades, em geral, não ensine - nem mesmo pesquise - incidentes cibernéticos complexos em uma escala que possa começar a atender às necessidades nacionais.

O governo federal deve agir rapidamente para fortalecer e formalizar arranjos de colaboração com os principais parceiros não governamentais - especialmente o setor empresarial, mas também pesquisadores e grandes entidades sem fins lucrativos.

Provedores de infraestrutura crítica, como empresas de eletricidade, deve estar entre as primeiras empresas visadas para colaboração, devido à escala de consequências potenciais caso sejam atacadas.

Para ajudar a conseguir isso, CIMA delineia planos para institucionalizar, pela primeira vez, exercícios regulares de incidentes cibernéticos que atendem às necessidades de todo o país.

É necessário um melhor planejamento de longo prazo

Embora esses movimentos sejam um bom começo, existem três tarefas de longo prazo que precisam de atenção.

Primeiro, o governo precisa construir um sistema consistente narrativa pública confiável e durável em torno do propósito de suas políticas de incidentes cibernéticos, e programas de exercícios associados.

O ex-ministro da Segurança Cibernética Dan Tehan falou de uma única tempestade cibernética, o ex-primeiro-ministro Malcolm Turnbull falou de uma tempestade cibernética perfeita (várias tempestades juntas), e o coordenador cibernético Alastair McGibbon falou de uma catástrofe cibernética como a única ameaça existencial que a Austrália enfrentou.

Mas há pouca articulação no domínio público sobre o que essas ideias realmente significam.

Os novos arranjos de gerenciamento de incidentes cibernéticos devem operar abaixo do nível de crise cibernética nacional. Mas o país precisa urgentemente de uma estratégia de defesa civil para o espaço cibernético que aborde os dois níveis de ataque. Não há menção significativa de ameaças cibernéticas no site do Australian Disaster Resilience Knowledge Hub.

Esta é uma forma completamente nova de defesa civil, e pode precisar de uma nova forma de organização para levá-la adiante. Um novo, braço dedicado de uma agência existente, como os Serviços Estaduais de Emergência (SES), é outra solução potencial.

Um de nós (Greg Austin) propôs em 2016 a criação de um novo “corpo civil cibernético”. Este seria um serviço disciplinado, baseado em compromissos de meio período das pessoas mais bem treinadas para responder a emergências cibernéticas nacionais. Um corpo civil cibernético também pode ajudar a definir as necessidades de treinamento e contribuir para os pacotes de treinamento nacionais.

A segunda tarefa cabe a empresas privadas, que enfrentam custos potencialmente incapacitantes em ataques cibernéticos aleatórios.

Eles precisarão construir seu próprio corpo de experiência em simulações e exercícios cibernéticos. Contratar essas responsabilidades para empresas de consultoria, ou relatórios únicos, produziria resultados dispersos. Quaisquer "lições aprendidas" dentro das empresas sobre gerenciamento de contingências podem deixar de ser consolidadas e compartilhadas com a comunidade empresarial mais ampla.

A terceira tarefa de todas as partes interessadas é mobilizar uma comunidade de conhecimento em expansão liderada por pesquisadores da academia, governo e setor privado.

O que existe no momento é minimalista, e parece refém das preferências de um punhado de altos funcionários do Australian Cyber ​​Security Centre (ACSC) e do Departamento de Assuntos Internos, que podem deixar de ocupar cargos dentro de vários anos.

A defesa civil cibernética é responsabilidade de toda a comunidade. A Austrália precisa de um comitê nacional permanente para gerenciamento de emergência de segurança cibernética e resiliência que seja uma parceria igualitária entre o governo, o negócio, e especialistas acadêmicos.

Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.