قانون SOCI لعام 2018 التزامات IAM للبنية التحتية الحرجة

مع تزايد تهديدات الأمن السيبراني المتقدمة وعدم الاستقرار الجيوسياسي العالمي، أدخلت العديد من المؤسسات الحكومية تشريعات رئيسية والتزامات إلزامية للأمن السيبراني للخدمات المالية والطاقة والرعاية الصحية وغيرها من الخدمات الأساسية.  

ولحماية هذه القطاعات الرئيسية، طرحت الحكومة الأسترالية أولاً قانون أمن البنية التحتية الحرجة لعام 2018، وعدلت هذا القانون مؤخرًا مع تعديل مشروع قانون أمن البنية التحتية الحيوية والتشريعات الأخرى (تعزيز الاستجابة والوقاية) لعام 2024. يحتوي مشروع قانون تخطيط موارد المؤسسات 2024 على التزامات إلزامية تشمل الأمن السيبراني وأمن سلسلة التوريد والموظفين للمساعدة في حماية المعلومات الاستخباراتية الأسترالية وإعطاء الأولوية لأمن الهوية.  

يتطلب قانون SOCI لعام 2018 ومشروع قانون تخطيط موارد المؤسسات لعام 2024 قدرات إدارة الهوية والوصول (IAM) وحوكمة الهوية وإدارتها (IGA) وضوابط الامتثال التي تمنع المخاطر وتكشف التهديدات وتحافظ على الامتثال. دعونا نستعرض ما هي القطاعات التي تلبي هذه الالتزامات والمتطلبات الإلزامية، والقدرات التي تحتاج إلى تنفيذها في مجال إدارة الهوية والوصول وبعض الخطوات الفورية التي يجب على المؤسسات اتخاذها.  

ينطبق قانون SOCI لعام 2018 ومشروع قانون تخطيط موارد المؤسسات لعام 2024 على المؤسسات العاملة في القطاعات التالية: 

• الخدمات والأسواق المالية 
• تخزين البيانات أو معالجتها 
• صناعة الدفاع 
• التعليم العالي والبحث العلمي 
• الطاقة 
• المواد الغذائية والبقالة 
• الرعاية الصحية والطبية 
• تكنولوجيا الفضاء 
• النقل، بما في ذلك الطيران والأصول البحرية 
• المياه والصرف الصحي 

بالإضافة إلى متطلبات قانون SOCI 2018, )، يمكن للحكومة الأسترالية أن تعلن بشكل خاص أن أحد أصول البنية التحتية الحيوية المعينة هو نظام ذو أهمية وطنية (سونز). لدى المؤسسات التي تعمل في مجال الأمن السيبراني متطلبات إضافية للأمن السيبراني مفصلة في  إطار عمل التزامات الأمن السيبراني المعزز.  

يسرد قانون الشركات الأمنية والبنية التحتية الحرجة لعام 2018 خمسة التزامات رئيسية لمشغلي البنية التحتية الحرجة: 

• الالتزام بإخطار مقدمي خدمات البيانات. (القسم الفرعي 12 (و) من قانون SOCI) 
• سجل أصول البنية التحتية الحيوية (الجزء 2)  
• برنامج إدارة المخاطر (RMP) (الجزء 2 أ) 
• الإبلاغ الإلزامي عن الحوادث السيبرانية (الجزء 2 ب) 
• التزامات الأمن السيبراني المعززة (ECSO) (الجزء 2ج) 

تُعد إدارة الوصول إلى المعلومات والالتزامات الحكومية الدولية ضرورية لتلبية متطلبات برنامج إدارة المخاطر، والإبلاغ الإلزامي عن الحوادث السيبرانية، والتزامات الأمن السيبراني المعززة: 

وبموجب هذا الالتزام، يجب أن تحتفظ جميع أصول مخابرات CI ببرنامج لإدارة المخاطر. يتطلب هذا البرنامج على وجه التحديد من مشغلي CI تحديدًا تحديد وتخفيف المخاطر المادية الناشئة عن الأمن السيبراني وسلسلة التوريد وتهديدات أمن الأفراد والأمن المادي. وهذا يعني أنه يجب أن يكون لدى مؤسسات CI ضوابط وصول مناسبة للهويات والأنظمة. 

للوفاء بهذه الالتزامات، يجب على مشغلي CI التأكد من أن لديهم الضوابط التالية 

• تحديد هوية المستخدم، والمصادقة، والتفويض لضمان وصول الأفراد المصرح لهم فقط 
• ضوابط الوصول إلى قواعد الأدوار (RBAC) لتعيين الوصول حسب الحاجة فقط، لتبسيط مراجعات الوصول وتدقيق الأدوار، وفرض الفصل بين الواجبات (SoD) 
• قدرات التدقيق، بما في ذلك مراقبة نشاط المستخدم للكشف عن الانتهاكات أو سوء استخدام/إساءة استخدام الأنظمة 
• إدارة دورة حياة الهوية مع أتمتة عمليات تأهيل الموظفين، وتغييرات الوصول، وعمليات إنهاء إجراءات تأهيل الموظفين 
• فرض ضوابط وصول مميزة لحصر الوظائف عالية الخطورة على أقل عدد من الأشخاص 

وينص هذا الالتزام على الإبلاغ عن حوادث الأمن السيبراني في غضون 12 ساعة إذا كان للحادث تأثير كبير على توافر أصول المعلومات السيبرانية أو 72 ساعة للحوادث ذات التأثير غير المعطل الفوري. 

للوفاء بمتطلبات إعداد التقارير والوفاء بهذه الالتزامات، يحتاج مشغلو مخبر المعلومات إلى  

• رؤية فورية للمراقبة في الوقت الفعلي وضوابط الوصول لاكتشاف الوصول غير المصرح به أو محاولات الدخول المشبوهة 
• القدرات التي تسمح للمشغلين بربط الحالات الجذرية للحوادث بالهويات  
• الامتثال الواضح لمزيد من التحقيق في الحوادث بعد الإبلاغ عنها أو أثناء عمليات التدقيق 

متطلبات الأمن السيبراني المحسّنة لنظام التشغيل SoNS  

إن الأنظمة التي تم تعيينها كأصول تابعة لشركة SoNS لديها التزامات إضافية في مجال الأمن السيبراني يجب الوفاء بها. وتتطلب هذه الالتزامات أن يكون لدى شركة SoNS خطط استجابة لحوادث الأمن السيبراني، وتقييمات دورية لنقاط الضعف، والقدرة على تزويد الحكومة بإمكانية الوصول إلى معلومات النظام، بما في ذلك جميع معلومات تسجيل الهوية والوصول عند الطلب.  

تساعد إمكانات IGA المؤسسات على الوفاء بهذه الالتزامات من خلال توفير تدقيق شامل وإعداد التقارير، والتي تتضمن سجلات الوصول في الوقت الحقيقي، وإمكانية الوصول إلى الوصول المميز والقدرة على التكامل مع أدوات إدارة المعلومات الأمنية والأحداث (SIEM). 

يجب على المؤسسات الأسترالية المعنية بالمعلومات السيبرانية والأمن السيبراني تنفيذ القدرات وأفضل الممارسات التالية لتلبية متطلبات برنامج إدارة المخاطر بموجب قانون أمن المعلومات السيبراني لعام 2018، والإبلاغ الإلزامي عن الحوادث السيبرانية، والتزامات الأمن السيبراني المعززة: 

• اعتماد سياسات التحكم في الوصول. فرض الوصول بأقل امتيازات ومبادئ انعدام الثقة من خلال استخدام التحكم في الوصول المستند إلى الأدوار (RBAC) لتعيين الأذونات إلى وظائف الوظيفة. 
• تأمين جميع الهويات باستخدام المصادقة متعددة العوامل (MFA) أو المصادقة بدون كلمة مرور. مطالبة جميع المستخدمين داخل البنية التحتية الحرجة بالحصول على MFA أو اعتماد مصادقة كلمة السر/مفتاح المرور. 
• استخدام مراقبة التحليل السلوكي في الوقت الفعلي والتنبيهات لاكتشاف سلوكيات الوصول الشاذة التي قد تشير إلى اختراق الحساب والحماية من التهديدات الداخلية من خلال التنبيه في الوقت الفعلي 
• ضمان الفصل بين الواجبات (SoD) لمنع تضارب المصالح في الأدوار (على سبيل المثال، منع مستخدم واحد من الموافقة على المعاملات وتنفيذها في آنٍ واحد). 

تستغل الجهات الفاعلة في مجال التهديدات بشكل متزايد ضعف ضوابط الهوية، مما يجعل إدارة المعلومات والاتصالات والرقابة على المعلوماتية أمراً محورياً في استراتيجية الأمن القومي الأسترالي. ويمثل قانون الأمن القومي الأسترالي تطوراً هاماً في كيفية حماية أستراليا للمعلومات السرية من التهديدات.  

على الرغم من أن الامتثال قد يبدو صعبًا، إلا أن اتباع نهج موحد لإدارة عمليات إدارة الأصول والامتثال والامتثال لمعايير إدارة الأصول والامتثال لا يساعد فقط مؤسسات تكنولوجيا المعلومات على الوفاء بالتزاماتها التنظيمية، بل يحسن أيضًا من الأمن التشغيلي بشكل كبير ويقلل من المخاطر ويضمن المرونة على المدى الطويل. 

تساعد RSA Security مؤسسات البنية التحتية الحرجة على تأمين هوياتهم وتلبية متطلبات الامتثال من خلال: 

RSA® ID Plusيوفر إمكانات أمان إدارة الهوية والوصول (IAM) التي تحتاجها البنية التحتية الحيوية لمنع عمليات الاستيلاء على الحسابات وهجمات برامج الفدية وغيرها من الهجمات الإلكترونية. يوفر الحل: 

• مصادقة مقاومة للتصيد الاحتيالي وبدون كلمة مرور لإيقاف الهجمات القائمة على بيانات الاعتماد 

• سياسات الوصول المتكيفة التي تمنع محاولات تسجيل الدخول المشبوهة في الوقت الفعلي 

• المصادقة الآمنة متعددة العوامل (MFA) التي توازن بين الأمان وسهولة الوصول لموظفي القطاع العام 

• تحليلات المخاطر المستندة إلى الذكاء الاصطناعي التي تكتشف محاولات الوصول الشاذة وتستجيب لها قبل أن تصبح تهديدات 

حوكمة ودورة حياة RSA®يوفر قدرات IGA التي تحتاجها البنية التحتية الحيوية لتسهيل وتأمين إدارة دورة حياة الهوية لجميع المستخدمين و
الأجهزة. الحل: 

• يعمل على أتمتة عمليات الإلحاق وإلغاء الإلحاق وتغييرات الوصول لضمان حصول المستخدمين على حق الوصول الصحيح في الوقت المناسب 
• فرض ضوابط الوصول المستندة إلى الأدوار (RBAC) لمنع زحف الامتيازات 
• الاستغناء عن الموافقات اليدوية من خلال تبسيط طلبات الهوية من خلال تدفقات العمل الآلية 
• يضمن إزالة الوصول الفوري عند مغادرة الموظفين أو تغيير أدوارهم، مما يقلل من التهديدات الداخلية 

على مدار أكثر من 40 عامًا، ساعدت RSA المؤسسات التي تركز على أمن المعلومات والمؤسسات التي تضع الأمن في مقدمة أولوياتها في حماية أصولها. مع تنامي التهديدات السيبرانية بشكل أكثر تعقيداً وتزايد صرامة متطلبات الامتثال، يجب على مؤسسات CI اتخاذ خطوات استباقية لتأمين الهويات ومنع الهجمات والحفاظ على المرونة التشغيلية. اتصل بـ RSA لمعرفة المزيد حول كيفية توفير RSA مجموعة من حلول إدارة عمليات الوصول إلى الهوية (IAM) التي تلبي لوائح قانون مركز العمليات الأمنية وتندمج في استراتيجية أمن الهوية الأوسع نطاقًا.