SOCI-Gesetz 2018 IAM-Verpflichtungen für kritische Infrastrukturen

Angesichts der zunehmenden Bedrohungen für die Cybersicherheit und der weltweiten geopolitischen Instabilität haben viele Regierungsorganisationen wichtige Gesetze und verbindliche Cybersicherheitsverpflichtungen für Finanzdienstleistungen, Energie, Gesundheitswesen und andere wichtige Dienstleistungen eingeführt.  

Zum Schutz dieser Schlüsselsektoren hat die australische Regierung zunächst das Gesetz über die Sicherheit kritischer Infrastrukturen (Security of Critical Infrastructure (SOCI) Act 2018) eingeführt und dieses Gesetz kürzlich durch das Gesetzentwurf 2024 zur Änderung des Gesetzes über die Sicherheit kritischer Infrastrukturen und anderer Rechtsvorschriften (verstärkte Reaktion und Prävention). Das ERP 2024-Gesetz sieht verbindliche Verpflichtungen in den Bereichen Cybersicherheit, Sicherheit der Lieferkette und Personal vor, um den Schutz der australischen KI zu unterstützen und der Identitätssicherheit Vorrang zu geben.  

Das SOCI-Gesetz 2018 und das ERP-Gesetz 2024 verlangen Identitäts- und Zugriffsmanagement (IAM) sowie Identitätssteuerung und -verwaltung (IGA) und Compliance-Kontrollen, die Risiken verhindern, Bedrohungen aufdecken und die Compliance aufrechterhalten. Sehen wir uns an, welche Branchen diese obligatorischen Verpflichtungen und Anforderungen erfüllen, welche Funktionen KI implementieren muss und welche Maßnahmen Unternehmen sofort ergreifen müssen.  

Das SOCI-Gesetz 2018 und das ERP-Gesetz 2024 gelten für Organisationen, die in den folgenden Sektoren tätig sind: 

• Finanzdienstleistungen und -märkte 
• Speicherung oder Verarbeitung von Daten 
• Verteidigungsindustrie 
• Hochschulbildung und Forschung 
• Energie 
• Lebensmittel und Lebensmittelgeschäfte 
• Gesundheitspflege und Medizin 
• Raumfahrttechnik 
• Verkehr, einschließlich Luft- und Seeverkehrsmittel 
• Wasser und Kanalisation 

Zusätzlich zu Anforderungen des SOCI-Gesetzes 2018, kann die australische Regierung ein bestimmtes kritisches Infrastrukturgut privat zu einem System von nationaler Bedeutung erklären (SoNS). Für SoNS-Organisationen gelten zusätzliche Anforderungen an die Cybersicherheit, die in Australiens  Verbesserter Rahmen für Cybersicherheitsverpflichtungen.  

Das SOCI-Gesetz 2018 enthält fünf Hauptpflichten für Betreiber Kritischer Infrastrukturen: 

• Pflicht zur Benachrichtigung von Datendienstleistern. (SOCI-Gesetz Unterabschnitt 12(F)) 
• Register der kritischen Infrastrukturen (Teil 2)  
• Risikomanagement-Programm (RMP) (Teil 2A) 
• Obligatorische Berichterstattung über Cyber-Vorfälle (Teil 2B) 
• Verbesserte Cybersicherheitsverpflichtungen (ECSO) (Teil 2C) 

IAM und IGA sind für die Erfüllung der Anforderungen des Risikomanagementprogramms, der Meldepflicht für Cyber-Vorfälle und der erweiterten Cybersicherheitsverpflichtungen unerlässlich: 

Gemäß dieser Verpflichtung müssen alle KI-Anlagen ein Risikomanagementprogramm unterhalten. Dieses Programm verlangt von den KI-Betreibern insbesondere, dass sie wesentliche Risiken, die sich aus Bedrohungen der Cybersicherheit, der Lieferkette, des Personals und der physischen Sicherheit ergeben, ermitteln und abmildern. Dies bedeutet, dass KI-Organisationen über angemessene Zugangskontrollen für Identitäten und Systeme verfügen müssen. 

Um diesen Verpflichtungen nachzukommen, müssen die KI-Betreiber sicherstellen, dass sie über die folgenden Kontrollen verfügen: 

• Benutzeridentifizierung, -authentifizierung und -autorisierung, um sicherzustellen, dass nur autorisierte Personen Zugang haben 
• Rollenbasierte Zugriffskontrollen (RBAC), um den Zugriff nur bei Bedarf zu gewähren, Zugriffsüberprüfungen und Rollenaudits zu vereinfachen und die Aufgabentrennung durchzusetzen 
• Audit-Funktionen, einschließlich der Überwachung von Benutzeraktivitäten zur Aufdeckung von Verstößen oder des Missbrauchs von Systemen 
• Identity Lifecycle Management mit Automatisierung der Prozesse für das Onboarding von Mitarbeitern, Zugangsänderungen und das Offboarding von Mitarbeitern 
• Durchsetzung privilegierter Zugangskontrollen, um risikoreiche Funktionen auf eine möglichst geringe Anzahl von Personen zu beschränken 

Diese Verpflichtung schreibt vor, dass Vorfälle im Bereich der Cybersicherheit innerhalb von 12 Stunden gemeldet werden müssen, wenn der Vorfall erhebliche Auswirkungen auf die Verfügbarkeit der KI-Anlage hat, bzw. innerhalb von 72 Stunden bei Vorfällen, deren Auswirkungen nicht unmittelbar störend sind. 

Um der Meldepflicht nachzukommen und diese Verpflichtungen zu erfüllen, müssen die KI-Betreiber:  

• Sofortige Einsicht in die Echtzeitüberwachung und Zugangskontrollen zur Erkennung von unbefugtem Zugang oder verdächtigen Anmeldeversuchen 
• Funktionen, die es den Betreibern ermöglichen, die Ursachen von Vorfällen mit Identitäten zu korrelieren  
• Nachweisliche Einhaltung der Vorschriften für die weitere Untersuchung von Vorfällen nach der Meldung oder bei Audits 

Erweiterte Anforderungen an die Cybersicherheit des SoNS  

Systeme, die als SoNS-Vermögenswerte ausgewiesen sind, müssen zusätzliche Cybersicherheitsverpflichtungen erfüllen. Diese Verpflichtungen erfordern, dass der SoNS über Pläne zur Reaktion auf Cybervorfälle und regelmäßige Schwachstellenbewertungen verfügt und in der Lage ist, der Regierung auf Anfrage Zugang zu Systeminformationen zu gewähren, einschließlich aller Identitäts- und Zugriffsprotokolldaten.  

IGA-Funktionen unterstützen Unternehmen bei der Erfüllung dieser Verpflichtungen, indem sie umfassende Prüf- und Berichtsfunktionen bereitstellen, die Zugriffsprotokolle in Echtzeit, Einblicke in privilegierte Zugriffe und die Möglichkeit zur Integration in SIEM-Tools (Security Information and Event Management) umfassen. 

Australische CI- und SoNS-Organisationen sollten die folgenden Fähigkeiten und Best Practices implementieren, um die Anforderungen des SOCI Act 2018 für das Risikomanagementprogramm, die obligatorische Meldung von Cybervorfällen und die erweiterten Cybersicherheitsverpflichtungen zu erfüllen: 

• Verabschiedung von Richtlinien zur Zugangskontrolle. Durchsetzung des Zugriffs mit geringsten Privilegien und der Zero-Trust-Prinzipien durch Verwendung der rollenbasierten Zugriffskontrolle (RBAC) zur Zuordnung von Berechtigungen zu Aufgabenfunktionen. 
• Sichern Sie alle Identitäten mit Multi-Faktor-Authentifizierung (MFA) oder passwortloser Authentifizierung. Verlangt, dass alle Nutzer innerhalb der kritischen Infrastrukturen über MFA verfügen oder eine Passwort-/Passwortauthentifizierung einführen. 
• Überwachung und Alarmierung durch Verhaltensanalyse in Echtzeit Erkennung von anomalem Zugriffsverhalten, das auf eine Gefährdung des Kontos hinweisen könnte, und Schutz vor Insider-Bedrohungen durch Echtzeit-Warnungen 
• Sicherstellung der Aufgabentrennung (SoD) zur Vermeidung von Interessenkonflikten bei Rollen (z. B. um zu verhindern, dass ein einzelner Benutzer Transaktionen sowohl genehmigt als auch ausführt). 

Bedrohungsakteure nutzen zunehmend schwache Identitätskontrollen aus, so dass IAM und IGA für die nationale Sicherheitsstrategie Australiens von zentraler Bedeutung sind. Das SOCI-Gesetz stellt eine bedeutende Entwicklung in der Art und Weise dar, wie Australien KI vor Bedrohungen schützt.  

Auch wenn die Einhaltung der Vorschriften eine Herausforderung zu sein scheint, hilft ein einheitlicher IAM- und IGA-Ansatz den KI-Organisationen nicht nur dabei, ihre gesetzlichen Verpflichtungen zu erfüllen, sondern verbessert auch die betriebliche Sicherheit erheblich, verringert das Risiko und gewährleistet langfristige Stabilität. 

RSA Security hilft Organisationen mit kritischen Infrastrukturen dabei, ihre Identitäten zu schützen und die Compliance-Anforderungen zu erfüllen: 

RSA® ID Plusbietet die Sicherheitsfunktionen für das Identitäts- und Zugriffsmanagement (IAM), die kritische Infrastrukturen benötigen, um Account-Takeover, Ransomware-Angriffe und andere Cyberattacken zu verhindern. Die Lösung bietet: 

• Phishing-resistente und passwortlose Authentifizierung zur Abwehr von Angriffen, die auf Anmeldeinformationen basieren 

• Adaptive Zugangsrichtlinien, die verdächtige Anmeldeversuche in Echtzeit blockieren 

• Sichere Multi-Faktor-Authentifizierung (MFA), die ein Gleichgewicht zwischen Sicherheit und einfachem Zugang für Mitarbeiter des öffentlichen Sektors schafft 

• KI-gesteuerte Risikoanalysen, die anomale Zugriffsversuche erkennen und darauf reagieren, bevor sie zu einer Bedrohung werden 

RSA® Governance und Lebenszyklusbietet die IGA-Funktionen, die kritische Infrastrukturen benötigen, um die Verwaltung des Identitätslebenszyklus für alle Nutzer zu erleichtern und zu sichern, und
Geräte. Die Lösung: 

• Automatisiert Onboarding, Offboarding und Zugriffsänderungen, um sicherzustellen, dass die Benutzer zur richtigen Zeit den richtigen Zugriff haben 
• Erzwingt rollenbasierte Zugriffskontrollen (RBAC), um eine Ausweitung der Privilegien zu verhindern 
• Abschaffung manueller Genehmigungen durch Rationalisierung von Identitätsanfragen mit automatisierten Arbeitsabläufen 
• Sorgt für die sofortige Entfernung des Zugriffs, wenn Mitarbeiter ausscheiden oder ihre Rolle wechseln, und reduziert so Insider-Bedrohungen 

Seit über 40 Jahren unterstützt RSA CI- und sicherheitsorientierte Organisationen beim Schutz ihrer Ressourcen. Da Cyber-Bedrohungen immer raffinierter und die Compliance-Anforderungen immer strenger werden, müssen KI-Organisationen proaktive Schritte unternehmen, um Identitäten zu schützen, Angriffe zu verhindern und die betriebliche Widerstandsfähigkeit aufrechtzuerhalten. Kontakt zur RSA um mehr darüber zu erfahren, wie RSA eine Reihe von IAM-Lösungen anbietet, die die Vorschriften des SOC Act erfüllen und in eine umfassendere Strategie zur Identitätssicherheit integriert werden können.