Legge SOCI 2018 Obblighi IAM per le infrastrutture critiche

Con l'aumento delle minacce avanzate alla cybersecurity e l'instabilità geopolitica globale, molte organizzazioni governative hanno introdotto una legislazione chiave e obblighi di cybersecurity obbligatori per i servizi finanziari, l'energia, la sanità e altri servizi essenziali.  

Per proteggere questi settori chiave, il governo australiano ha introdotto per la prima volta il Security of Critical Infrastructure (SOCI) Act 2018 e ha recentemente modificato questa legge con il Progetto di legge 2024 sulla sicurezza delle infrastrutture critiche e altri emendamenti legislativi (miglioramento della risposta e della prevenzione). Il disegno di legge ERP 2024 prevede obblighi obbligatori che riguardano la cybersecurity, la sicurezza della catena di approvvigionamento e il personale, per contribuire a proteggere l'informatica australiana e dare priorità alla sicurezza dell'identità.  

Il SOCI Act 2018 e l'ERP Bill 2024 richiedono capacità di gestione dell'identità e degli accessi (IAM) e di governance e amministrazione dell'identità (IGA) e controlli di conformità che prevengano i rischi, rilevino le minacce e mantengano la conformità. Esaminiamo quali settori soddisfano questi obblighi e requisiti obbligatori, le funzionalità che l'IC deve implementare e alcuni passi immediati che le organizzazioni devono compiere.  

Il SOCI Act 2018 e l'ERP Bill 2024 si applicano alle organizzazioni che operano nei seguenti settori: 

• Servizi e mercati finanziari 
• Memorizzazione o elaborazione dei dati 
• Industria della difesa 
• Istruzione superiore e ricerca 
• Settore Energetico 
• Alimenti e generi alimentari 
• Assistenza sanitaria e medica 
• Tecnologia spaziale 
• Trasporti, compresi i mezzi aerei e marittimi 
• Acqua e fognature 

Oltre a Requisiti della legge SOCI 2018, Il governo australiano può dichiarare privatamente che una determinata infrastruttura critica è un sistema di importanza nazionale (SoNS). Le organizzazioni SoNS hanno ulteriori requisiti di cybersecurity che sono dettagliati nel documento Australia's  Quadro degli obblighi di cibersicurezza rafforzati.  

Il SOCI Act 2018 elenca cinque obblighi fondamentali per gli operatori di infrastrutture critiche: 

• Obbligo di notifica ai fornitori di servizi di dati. (Legge SOCI, sottosezione 12(F)) 
• Registro delle infrastrutture critiche (Parte 2)  
• Programma di gestione del rischio (RMP) (Parte 2A) 
• Segnalazione obbligatoria degli incidenti informatici (Parte 2B) 
• Obblighi di sicurezza informatica rafforzati (ECSO) (Parte 2C) 

L'IAM e l'IGA sono essenziali per soddisfare i requisiti del programma di gestione del rischio, la segnalazione obbligatoria degli incidenti informatici e gli obblighi di sicurezza informatica rafforzata: 

In base a questo obbligo, tutte le infrastrutture critiche devono mantenere un programma di gestione del rischio. Questo programma richiede specificamente agli operatori di infrastrutture critiche di identificare e mitigare i rischi materiali derivanti da minacce alla sicurezza informatica, alla catena di approvvigionamento, al personale e alla sicurezza fisica. Ciò significa che le organizzazioni di infrastrutture critiche devono disporre di adeguati controlli di accesso per le identità e i sistemi. 

Per soddisfare questi obblighi, i gestori di infrastrutture critiche devono garantire i seguenti controlli: 

• Identificazione, autenticazione e autorizzazione degli utenti per garantire l'accesso solo alle persone autorizzate. 
• Controlli di accesso basati sui ruoli (RBAC) per assegnare l'accesso solo in base alle necessità, semplificare le revisioni degli accessi e gli audit dei ruoli e applicare la segregazione dei compiti (SoD). 
• Funzionalità di audit, compreso il monitoraggio dell'attività degli utenti per rilevare violazioni o uso improprio/abuso dei sistemi. 
• Gestione del ciclo di vita dell'identità con automazione dei processi di inserimento, modifica degli accessi e disinserimento dei dipendenti. 
• Applicare i controlli sugli accessi privilegiati per limitare le funzioni ad alto rischio al minor numero di persone. 

Quest'obbligo prevede la segnalazione degli incidenti di cybersecurity entro 12 ore se l'incidente ha un impatto significativo sulla disponibilità dell'asset dell'IC o 72 ore per gli incidenti con un impatto non immediatamente distruttivo. 

Per soddisfare i requisiti di rendicontazione e adempiere a questi obblighi, i gestori di infrastrutture critiche devono:  

• Visibilità immediata del monitoraggio in tempo reale e dei controlli di accesso per rilevare accessi non autorizzati o tentativi di accesso sospetti. 
• Funzionalità che consentono agli operatori di correlare i casi principali di incidente alle identità  
• Dimostrazione di conformità per ulteriori indagini sugli incidenti in seguito alla segnalazione o durante gli audit. 

Requisiti di sicurezza informatica SoNS rafforzati  

I sistemi designati come risorse SoNS hanno ulteriori obblighi di cybersecurity da rispettare. Tali obblighi prevedono che i SoNS dispongano di piani di risposta agli incidenti di cybersecurity, di valutazioni periodiche delle vulnerabilità e della capacità di fornire al governo l'accesso alle informazioni del sistema, comprese tutte le informazioni di identità e di registrazione degli accessi, quando richiesto.  

Le funzionalità dell'IGA aiutano le organizzazioni a soddisfare questi obblighi fornendo audit e reportistica completi, che includono registri di accesso in tempo reale, visibilità sugli accessi privilegiati e la capacità di integrarsi con gli strumenti di Security Information and Event Management (SIEM). 

Le organizzazioni australiane di CI e SoNS dovrebbero implementare le seguenti funzionalità e best practice per soddisfare i requisiti del programma di gestione del rischio SOCI Act 2018, la segnalazione obbligatoria degli incidenti informatici e gli obblighi di sicurezza informatica rafforzata: 

• Adottare politiche di controllo degli accessi. Applicare l'accesso con il minimo privilegio e i principi di Zero Trust utilizzando il controllo degli accessi basato sui ruoli (RBAC) per mappare le autorizzazioni alle funzioni lavorative. 
• Proteggere tutte le identità con l'autenticazione a più fattori (MFA) o l'autenticazione senza password.. Richiedere a tutti gli utenti delle infrastrutture critiche l'MFA o l'adozione dell'autenticazione tramite password/chiave. 
• Utilizzare il monitoraggio e gli avvisi dell'analisi comportamentale in tempo reale. per rilevare comportamenti di accesso anomali che possono indicare la compromissione dell'account e proteggere dalle minacce interne con avvisi in tempo reale 
• Garantire la separazione dei compiti (SoD) per evitare conflitti di interesse nei ruoli (ad esempio, impedendo a un singolo utente di approvare ed eseguire transazioni). 

Gli attori delle minacce sfruttano sempre più spesso i deboli controlli sull'identità, rendendo l'IAM e l'IGA centrali per la strategia di sicurezza nazionale dell'Australia. Il SOCI Act rappresenta un'evoluzione significativa nel modo in cui l'Australia protegge le infrastrutture critiche dalle minacce.  

Anche se la conformità può sembrare impegnativa, un approccio IAM e IGA unificato non solo aiuta le organizzazioni di CI a rispettare gli obblighi normativi, ma migliora anche notevolmente la sicurezza operativa, riduce i rischi e garantisce la resilienza a lungo termine. 

RSA Security aiuta le organizzazioni di infrastrutture critiche a proteggere le proprie identità e a soddisfare i requisiti di conformità con: 

RSA® ID Plusoffre le funzionalità di sicurezza per la gestione delle identità e degli accessi (IAM) di cui le infrastrutture critiche hanno bisogno per prevenire l'acquisizione di account, gli attacchi ransomware e altri attacchi informatici. La soluzione offre: 

• Autenticazione resistente al phishing e senza password per bloccare gli attacchi basati sulle credenziali 

• Criteri di accesso adattivi che bloccano in tempo reale i tentativi di accesso sospetti. 

• Autenticazione sicura a più fattori (MFA) che bilancia sicurezza e facilità di accesso per i dipendenti del settore pubblico 

• Analisi dei rischi basate sull'intelligenza artificiale che rilevano e rispondono ai tentativi di accesso anomali prima che diventino minacce. 

Governance e ciclo di vita RSAfornisce le funzionalità IGA di cui le infrastrutture critiche hanno bisogno per facilitare e rendere sicura la gestione del ciclo di vita dell'identità per tutti gli utenti e per tutti i dipendenti.
dispositivi. La soluzione: 

• Automatizza le operazioni di onboarding, offboarding e modifica degli accessi per garantire che gli utenti abbiano l'accesso giusto al momento giusto. 
• Applicazione dei controlli di accesso basati sui ruoli (RBAC) per prevenire l'aumento dei privilegi. 
• Elimina le approvazioni manuali semplificando le richieste di identità con flussi di lavoro automatizzati. 
• Assicura la rimozione immediata dell'accesso quando i dipendenti lasciano o cambiano ruolo, riducendo le minacce interne. 

Da oltre 40 anni, RSA aiuta le organizzazioni di CI e quelle orientate alla sicurezza a proteggere le proprie risorse. Con l'aumento delle minacce informatiche e l'inasprimento dei requisiti di conformità, le organizzazioni di CI devono adottare misure proattive per proteggere le identità, prevenire gli attacchi e mantenere la resilienza operativa. Contatta la RSA per saperne di più su come RSA offre una gamma di soluzioni IAM che soddisfano le normative SOC Act e si integrano in una più ampia strategia di sicurezza delle identità.