澳大利亚高校将被纳入关键基础设施进行保护
2021-03-17
来源: 互联网安全内参
澳大利亚高等院校可能很快就会被视为 “国家重要系统”。
澳大利亚政府计划通过2020年《安全立法修正案(关键基础设施)条例草案》,对国内各高等院校强制实施“提升安全与弹性增强框架”。
但由八所澳大利亚高校组成的八大名校(Go8)认为,该国政府一直没能清晰确定高等教育与研究领域的各类重要基础设施资产,因此,考虑到监管方面的影响,不认为高校应该被纳入关键基础设施领域。
Go8组织在上个月提到,“针对高等教育与研究部门提出的立法太过宽泛,与该部门可能的关键性程度和范围并不相称。”
澳大利亚国立大学(ANU)曾于2018年底遭遇大规模数据泄露,事件直到2019年5月才被发现,相关细节于同年6月、即两周之后正式披露。
事实证明,黑客一方已经从国立大学的系统中访问到过去19年间的大量数据,具体包括校内人力资源、财务管理、学生管理以及“企业电子表格系统”等信息。
接下来是墨尔本皇家理工大学(RMIT),该校上个月回应了关于其遭遇网络钓鱼攻击的报道,表示系统恢复工作正在缓慢推进。
尽管国立大学攻击事件的幕后黑手还没有正式公布,但澳大利亚安全情报组织(ASIO)安全总干事Mike Burgess表示,事件已经引起参议员兼议会情报与安全联合委员会(PJCIS)主席James Paterson的关注。
Burgess在上周四表示,通过议会情报与安全联合委员会组织的澳大利亚高等教育与研究部门国家安全风险研究,“我们已经摸清了攻击者的真实身份,但我无法公开,因为这不是我的职责。”
关于墨尔本皇家理工大学事件的攻击者,Burgess表示暂时还一无所知。他指出,“委员会内部已经有工作人员在着手调查,但我还没有拿到可靠的结论。”
在多位民政及教育部门代表的反复强调之下,澳大利亚国立大学与墨尔本皇家理工大学事件已经成为该委员会的调查重点。但Paterson认为,更重要的是找到发动攻击的罪魁祸首。
内政部国家弹性与网络安全副秘书长Marc Ablong表示,“最初调查人员怀疑事件出自高级威胁攻击者之手,但由于结论尚不明确,因此目前事件还没有被纳入国家层面的专项审议或规范调整当中。”
Ablong称对墨尔本皇家理工大学事件的调查仍在进行当中,但对方的目标大概率属于网络攻击、而非系统中断。
Ablong表示,“我们不想匆忙给出不够准确的判断。因此我们会在获得充分的取证信息、准确勾勒出事件过程与时间之后,再公布最终结果。但请大家放心,我们已经认识到问题的严重性,也已经在开展全力调查。”
作为内政部代表,Ablong还希望借这两次事件为契机,论证将高等教育与研究机构纳入《关键基础设施法案》的合理性。
Ablong指出,“威胁真实存在,而且越来越真实、越来越严峻。即使是高度复杂的组织机构,也很难抵御住这样的攻势。”
根据Ablong的介绍,高等教育部门对于网络风险的认知和考量也明显不够深刻。
“这是一种耻辱……必须尽快采取更有效的措施。”
而Paterson则观察到,这些高校仍然妄想存在一种“既主动又消极”的解决方案。“他们已经向委员会及民众充分表面了开展合作、解决网络问题的意愿。但与此同时,他们又不愿意接受任何立法或法规层面的具体要求。又想要安全,又不想改变现状,这怎么可能呢?”