SOCI Act 2018 Kewajiban IAM untuk Infrastruktur Kritis

Dengan meningkatnya ancaman keamanan siber tingkat lanjut dan ketidakstabilan geopolitik global, banyak organisasi pemerintah telah memperkenalkan undang-undang utama dan kewajiban keamanan siber wajib untuk layanan keuangan, energi, perawatan kesehatan, dan layanan penting lainnya.  

Untuk melindungi sektor-sektor utama ini, Pemerintah Australia pertama kali memperkenalkan Undang-Undang Keamanan Infrastruktur Kritis (SOCI) 2018 dan baru-baru ini mengubah Undang-Undang ini dengan RUU Keamanan Infrastruktur Kritis dan Amandemen Peraturan Perundang-undangan Lainnya (Peningkatan Respons dan Pencegahan) 2024. RUU ERP 2024 memiliki kewajiban wajib yang mencakup keamanan siber, keamanan rantai pasokan, dan personel untuk membantu melindungi CI Australia dan memprioritaskan keamanan identitas.  

SOCI Act 2018 dan ERP Bill 2024 membutuhkan kemampuan manajemen identitas dan akses (IAM) serta tata kelola dan administrasi identitas (IGA) dan kontrol kepatuhan yang mencegah risiko, mendeteksi ancaman, dan menjaga kepatuhan. Mari kita tinjau industri apa saja yang memenuhi kewajiban dan persyaratan wajib ini, kapabilitas yang perlu diterapkan oleh CI, dan beberapa langkah segera yang harus diambil oleh organisasi.  

Undang-Undang SOCI 2018 dan RUU ERP 2024 berlaku untuk organisasi yang bekerja di sektor-sektor berikut: 

• Layanan dan pasar keuangan 
• Penyimpanan atau pemrosesan data 
• Industri pertahanan 
• Pendidikan tinggi dan penelitian 
• Energi 
• Makanan dan bahan makanan 
• Perawatan kesehatan dan medis 
• Teknologi ruang angkasa 
• Transportasi, termasuk aset penerbangan dan maritim 
• Air dan saluran pembuangan 

Selain Persyaratan Undang-Undang SOCI 2018, Pemerintah Australia dapat secara pribadi menyatakan suatu aset infrastruktur penting sebagai sistem yang memiliki kepentingan nasional (SoNS). Organisasi SoNS memiliki persyaratan keamanan siber tambahan yang dirinci dalam Australia's  Kerangka Kerja Kewajiban Keamanan Siber yang Disempurnakan.  

SOCI Act 2018 mencantumkan lima kewajiban utama bagi Operator Infrastruktur Kritis: 

• Kewajiban untuk memberi tahu penyedia layanan data. (Undang-Undang SOCI Ayat 12 (F)) 
• Daftar Aset Infrastruktur Kritis (Bagian 2)  
• Program Manajemen Risiko (RMP) (Bagian 2A) 
• Pelaporan Insiden Siber Wajib (Bagian 2B) 
• Kewajiban Keamanan Dunia Maya yang Ditingkatkan (ECSO) (Bagian 2C) 

IAM dan IGA sangat penting untuk memenuhi Persyaratan Program Manajemen Risiko, Pelaporan Insiden Siber Wajib, dan Kewajiban Keamanan Siber yang Ditingkatkan: 

Di bawah kewajiban ini, semua aset CI harus memiliki program manajemen risiko. Program ini secara khusus mewajibkan operator CI untuk mengidentifikasi dan memitigasi risiko material yang timbul dari ancaman keamanan siber, rantai pasokan, personel, dan keamanan fisik. Ini berarti organisasi CI harus memiliki kontrol akses yang sesuai untuk identitas dan sistem. 

Untuk memenuhi kewajiban ini, operator CI harus memastikan bahwa mereka memiliki kontrol berikut ini: 

• Identifikasi, autentikasi, dan otorisasi pengguna untuk memastikan hanya orang yang berwenang yang memiliki akses 
• Role Bases Access Controls (RBAC) untuk menetapkan akses hanya sesuai kebutuhan, untuk menyederhanakan tinjauan akses dan audit peran, dan untuk menegakkan pemisahan tugas (SoD) 
• Kemampuan audit, termasuk memantau aktivitas pengguna untuk mendeteksi pelanggaran atau penyalahgunaan/penyalahgunaan sistem 
• Manajemen siklus hidup identitas dengan otomatisasi proses orientasi karyawan, perubahan akses, dan pemberhentian karyawan 
• Menerapkan kontrol akses istimewa untuk membatasi fungsi berisiko tinggi kepada orang yang paling sedikit 

Kewajiban ini mengamanatkan pelaporan insiden keamanan siber dalam waktu 12 jam jika insiden tersebut berdampak signifikan terhadap ketersediaan aset CI atau 72 jam untuk insiden dengan dampak yang tidak langsung mengganggu. 

Untuk memenuhi persyaratan pelaporan dan memenuhi kewajiban ini, operator CI perlu:  

• Visibilitas langsung ke dalam pemantauan waktu nyata dan kontrol akses untuk mendeteksi akses yang tidak sah atau upaya mencurigakan untuk masuk 
• Kemampuan yang memungkinkan operator untuk menghubungkan akar kasus insiden dengan identitas  
• Kepatuhan yang dapat dibuktikan untuk investigasi insiden lebih lanjut setelah pelaporan atau selama audit 

Persyaratan Keamanan Siber SoNS yang Disempurnakan  

Sistem yang ditetapkan sebagai aset SoNS memiliki kewajiban keamanan siber tambahan yang harus dipenuhi. Kewajiban ini mengharuskan SoNS untuk memiliki Rencana Respons Insiden Keamanan Siber, penilaian kerentanan berkala, dan kemampuan untuk memberikan akses kepada pemerintah terhadap informasi sistem, termasuk semua informasi identitas dan pencatatan akses ketika diminta.  

Kemampuan IGA membantu organisasi memenuhi kewajiban ini dengan menyediakan audit dan pelaporan yang komprehensif, yang mencakup log akses waktu nyata, visibilitas ke akses istimewa, dan kemampuan untuk mengintegrasikan ke dalam alat Manajemen Informasi dan Peristiwa Keamanan (SIEM). 

Organisasi CI dan SoNS Australia harus menerapkan kemampuan dan praktik terbaik berikut ini untuk memenuhi Persyaratan Program Manajemen Risiko SOCI Act 2018, Pelaporan Insiden Siber Wajib, dan Kewajiban Keamanan Siber yang Ditingkatkan: 

• Menerapkan kebijakan kontrol akses. Menerapkan akses dengan hak istimewa paling sedikit dan prinsip Zero Trust dengan menggunakan kontrol akses berbasis peran (RBAC) untuk memetakan izin ke fungsi pekerjaan. 
• Amankan semua identitas dengan autentikasi multi-faktor (MFA) atau autentikasi tanpa kata sandi. Mewajibkan semua pengguna dalam Infrastruktur Kritis untuk memiliki MFA atau menggunakan autentikasi tanpa kata sandi/kunci sandi. 
• Gunakan pemantauan dan peringatan analisis perilaku waktu nyata untuk mendeteksi perilaku akses anomali yang mungkin mengindikasikan kompromi akun dan melindungi dari ancaman orang dalam dengan peringatan waktu nyata 
• Memastikan Pemisahan Tugas (SoD) untuk mencegah konflik kepentingan dalam peran (misalnya, mencegah satu pengguna untuk menyetujui dan mengeksekusi transaksi). 

Pelaku ancaman semakin mengeksploitasi kontrol identitas yang lemah, menjadikan IAM dan IGA sebagai pusat strategi keamanan nasional Australia. Undang-Undang SOCI mewakili evolusi yang signifikan dalam cara Australia melindungi CI dari ancaman.  

Meskipun kepatuhan mungkin tampak menantang, pendekatan IAM dan IGA yang terpadu tidak hanya membantu organisasi CI untuk memenuhi kewajiban peraturan mereka, tetapi juga sangat meningkatkan keamanan operasional, mengurangi risiko, dan memastikan ketahanan jangka panjang. 

RSA Security membantu organisasi Infrastruktur Kritis untuk mengamankan identitas mereka dan memenuhi persyaratan kepatuhan: 

RSA® ID Plusmemberikan kemampuan keamanan manajemen identitas dan akses (IAM) yang dibutuhkan infrastruktur penting untuk mencegah pengambilalihan akun, serangan ransomware, dan serangan siber lainnya. Solusi ini memberikannya: 

• Otentikasi tahan phishing dan tanpa kata sandi untuk menghentikan serangan berbasis kredensial 

• Kebijakan akses adaptif yang memblokir upaya masuk yang mencurigakan secara real time 

• Otentikasi multi-faktor yang aman (MFA) yang menyeimbangkan keamanan dan kemudahan akses bagi karyawan sektor publik 

• Analisis risiko berbasis AI yang mendeteksi dan merespons upaya akses yang tidak wajar sebelum menjadi ancaman 

Tata Kelola & Siklus Hidup RSA®menyediakan kemampuan IGA yang dibutuhkan infrastruktur penting untuk memfasilitasi dan mengamankan manajemen siklus hidup identitas untuk semua pengguna dan
perangkat. Solusinya: 

• Mengotomatiskan proses onboarding, offboarding, dan perubahan akses untuk memastikan pengguna memiliki akses yang tepat pada waktu yang tepat 
• Menerapkan kontrol akses berbasis peran (RBAC) untuk mencegah perayapan hak istimewa 
• Menghilangkan persetujuan manual dengan merampingkan permintaan identitas dengan alur kerja otomatis 
• Memastikan penghapusan akses segera ketika karyawan keluar atau berganti peran, sehingga mengurangi ancaman orang dalam 

Selama lebih dari 40 tahun, RSA telah membantu CI dan organisasi yang mengutamakan keamanan untuk melindungi aset mereka. Seiring dengan semakin canggihnya ancaman dunia maya dan semakin ketatnya persyaratan kepatuhan, organisasi CI harus mengambil langkah proaktif untuk mengamankan identitas, mencegah serangan, dan menjaga ketahanan operasional. Hubungi RSA untuk mempelajari lebih lanjut tentang bagaimana RSA menyediakan berbagai solusi IAM yang memenuhi peraturan SOC Act dan diintegrasikan ke dalam strategi keamanan identitas yang lebih luas.