澳大利亞高校將被納入關鍵基礎設施進行保護

來源：互聯網安全內參

澳大利亞高等院校可能很快就會被視為 "國家重要系統"。

澳大利亞政府計劃通過2020年《安全立法修正案(關鍵基礎設施)條例草案》，對國內各高等院校強制實施“提升安全與彈性增強框架”。

但由八所澳大利亞高校組成的八大名校(Go8)認為，該國政府一直沒能清晰確定高等教育與研究領域的各類重要基礎設施資產，因此，考慮到監管方面的影響，不認為高校應該被納入關鍵基礎設施領域。

Go8組織在上個月提到，“針對高等教育與研究部門提出的立法太過寬泛，與該部門可能的關鍵性程度和范圍并不相稱。”

澳大利亞國立大學(ANU)曾于2018年底遭遇大規模數據泄露，事件直到2019年5月才被發現，相關細節于同年6月、即兩周之后正式披露。

事實證明，黑客一方已經從國立大學的系統中訪問到過去19年間的大量數據，具體包括校內人力資源、財務管理、學生管理以及“企業電子表格系統”等信息。

接下來是墨爾本皇家理工大學(RMIT)，該校上個月回應了關于其遭遇網絡釣魚攻擊的報道，表示系統恢復工作正在緩慢推進。

盡管國立大學攻擊事件的幕后黑手還沒有正式公布，但澳大利亞安全情報組織(ASIO)安全總干事Mike Burgess表示，事件已經引起參議員兼議會情報與安全聯合委員會(PJCIS)主席James Paterson的關注。

Burgess在上周四表示，通過議會情報與安全聯合委員會組織的澳大利亞高等教育與研究部門國家安全風險研究，“我們已經摸清了攻擊者的真實身份，但我無法公開，因為這不是我的職責。”

關于墨爾本皇家理工大學事件的攻擊者，Burgess表示暫時還一無所知。他指出，“委員會內部已經有工作人員在著手調查，但我還沒有拿到可靠的結論。”

在多位民政及教育部門代表的反復強調之下，澳大利亞國立大學與墨爾本皇家理工大學事件已經成為該委員會的調查重點。但Paterson認為，更重要的是找到發動攻擊的罪魁禍首。

內政部國家彈性與網絡安全副秘書長Marc Ablong表示，“最初調查人員懷疑事件出自高級威脅攻擊者之手，但由于結論尚不明確，因此目前事件還沒有被納入國家層面的專項審議或規范調整當中。”

Ablong稱對墨爾本皇家理工大學事件的調查仍在進行當中，但對方的目標大概率屬于網絡攻擊、而非系統中斷。

Ablong表示，“我們不想匆忙給出不夠準確的判斷。因此我們會在獲得充分的取證信息、準確勾勒出事件過程與時間之后，再公布最終結果。但請大家放心，我們已經認識到問題的嚴重性，也已經在開展全力調查。”

作為內政部代表，Ablong還希望借這兩次事件為契機，論證將高等教育與研究機構納入《關鍵基礎設施法案》的合理性。

Ablong指出，“威脅真實存在，而且越來越真實、越來越嚴峻。即使是高度復雜的組織機構，也很難抵御住這樣的攻勢。”

根據Ablong的介紹，高等教育部門對于網絡風險的認知和考量也明顯不夠深刻。

“這是一種恥辱……必須盡快采取更有效的措施。”

而Paterson則觀察到，這些高校仍然妄想存在一種“既主動又消極”的解決方案。“他們已經向委員會及民眾充分表面了開展合作、解決網絡問題的意愿。但與此同時，他們又不愿意接受任何立法或法規層面的具體要求。又想要安全，又不想改變現狀，這怎么可能呢?”

原文鏈接：

https://www.zdnet.com/article/university-hacks-as-a-justification-to-include-the-sector-in-critical-infrastructure-bill/