Debatter om cybersäkerhet i Australien under de senaste veckorna har till stor del kretsat kring antagandet av regeringens kontroversiella Assistance and Access-lag. Men även om statlig tillgång till krypterade meddelanden är ett viktigt ämne, Att skydda Australien från hot skulle kunna bero mer på uppgiften att utveckla en solid och robust cybersäkerhetsresponsplan.

Australien släppte sina första Cyber ​​Incident Management Arrangements (CIMA) för staten, territorium och federala regeringar den 12 december. Det är ett lovvärt steg mot en omfattande nationell civilförsvarsstrategi för cyberutrymme.

Kommer åtminstone ett decennium efter att behovet först förebådades av regeringen, detta är bara det första steget på en väg som kräver mycket mer utveckling. Bortom CIMA, regeringen behöver bättre förklara för allmänheten de unika hot som storskaliga cyberincidenter utgör och, på den grunden, engagera den privata sektorn och en bredare expertgrupp för att hantera dessa unika hot.

Australien är dåligt förberett

Syftet med de nya cyberincidentarrangemangen är att minska omfattningen, påverkan och svårighetsgraden av en "nationell cyberincident".

En nationell cyberincident definieras som att den är av potentiell nationell betydelse, men mindre allvarlig än en "kris" som skulle utlösa regeringens Australian Government Crisis Management Framework (AGCMF).

Australien är för närvarande dåligt förberett att svara på en stor cyberincident, som Wannacry- eller NotPetya-attackerna 2017.

Wannacry störde allvarligt Storbritanniens National Health Service, till en kostnad av A$160 miljoner. NotPetya stängde världens största fraktcontainerföretag, Maersk, i flera veckor, kostar det 500 miljoner dollar.

När kostnaderna för slumpmässiga cyberattacker är så höga, Det är av avgörande betydelse att alla australiensiska regeringar har samordnat insatsplaner för hot med hög hot. CIMA fastställer interjurisdiktionella samordningsarrangemang, roller och ansvar, och principer för samarbete.

En cyberkris på högre nivå som skulle utlösa AGCMF (en process som i sig ser något underförberedd ut) är en som "... resulterar i varaktiga störningar av viktiga tjänster, allvarlig ekonomisk skada, ett hot mot den nationella säkerheten eller förlust av liv. "

Fler cyberexperter och cyberincidentövningar

Bara sju sidor långa, i glansigt broschyrformat, CIMA beskriver inte specifika protokoll för hantering av operationella incidenter.

Detta kommer att vara upp till statliga och territoriella regeringar att förhandla med samväldet. Det betyder att de utvecklade protokollen kan bli föremål för konkurrerande budgetprioriteringar, politisk aptit, olika nivåer av cybermognad, och, viktigast, personalbehov.

Australien har en allvarlig kris när det gäller tillgången på skicklig cyberpersonal i allmänhet. Detta är särskilt fallet inom specialistområden som krävs för hantering av komplexa cyberincidenter.

Statliga myndigheter kämpar för att konkurrera med stora företag, som de stora bankerna, för de högsta rekryterna.

Kompetenskrisen förvärras av bristen på högkvalitativa utbildningar och träningsprogram i Australien för denna specialistuppgift. Våra universitet, för det mesta, lär inte ut – eller ens forska om – komplexa cyberincidenter i en skala som kan börja tillgodose det nationella behovet.

Den federala regeringen måste gå snabbt för att stärka och formalisera arrangemang för samarbete med viktiga icke-statliga partner – särskilt näringslivet, men även forskare och stora ideella organisationer.

Kritiska infrastrukturleverantörer, som elbolag, bör vara bland de första företagen som är inriktade på samarbete på grund av omfattningen av potentiellt nedfall om de skulle bli attackerade.

För att hjälpa till att uppnå detta, CIMA skisserar planer på att institutionalisera, för första gången, regelbundna övningar för cyberincidenter som adresserar rikstäckande behov.

Det behövs bättre långsiktig planering

Även om dessa drag är en bra början, det finns tre långsiktiga uppgifter som kräver uppmärksamhet.

Först, regeringen måste bygga en konsekvent, trovärdig och hållbar offentlig berättelse kring syftet med dess policy för cyberincidenter, och tillhörande träningsprogram.

Den tidigare cybersäkerhetsministern Dan Tehan har talat om en enda cyberstorm, tidigare premiärminister Malcolm Turnbull talade om en perfekt cyberstorm (flera stormar tillsammans), och cyberkoordinator Alastair McGibbon talade om en cyberkatastrof som det enda existentiella hotet Australien stod inför.

Men det finns lite artikulation i det offentliga området om vad dessa idéer faktiskt betyder.

De nya arrangemangen för hantering av cyberincident är avsedda att fungera under nivån för nationell cyberkris. Men landet är i stort behov av en civilförsvarsstrategi för cyberrymden som adresserar båda attacknivåerna. Det finns inget betydande omnämnande av cyberhot på webbplatsen för Australian Disaster Resilience Knowledge Hub.

Detta är en helt ny form av civilt försvar, och den kan behöva en ny organisationsform för att föra den vidare. En ny, en dedikerad arm av en befintlig byrå, såsom statens räddningstjänst (SES), är en annan potentiell lösning.

En av oss (Greg Austin) föreslog 2016 skapandet av en ny "cyber civil corps". Detta skulle vara en disciplinerad tjänst som förlitar sig på deltidsåtaganden från de personer som är bäst utbildade för att reagera på nationella cybernödsituationer. En civil cyberkår skulle också kunna hjälpa till att definiera utbildningsbehov och bidra till nationella utbildningspaket.

Den andra uppgiften faller på privata företag, som står inför potentiellt förödande kostnader i slumpmässiga cyberattacker.

De kommer att behöva bygga sin egen expertis inom cybersimuleringar och träning. Att lägga ut sådant ansvar till konsultföretag, eller engångsrapporter, skulle ge spridningsresultat. Alla "lärdomar" inom företag om beredskapshantering skulle inte kunna konsolideras och delas med det bredare näringslivet.

Den tredje uppgiften för alla intressenter är att mobilisera ett expanderande kunskapsgemenskap som leds av forskare från akademin, staten och den privata sektorn.

Det som finns för tillfället är minimalistiskt, och verkar gisslan för preferenserna för en handfull högre tjänstemän i Australian Cyber ​​Security Center (ACSC) och Department of Home Affairs som kanske inte är på plats inom flera år.

Cyber ​​-civilt försvar är hela samhällets ansvar. Australien behöver en nationell ständig kommitté för cybersäkerhetsberedskap och motståndskraft som är ett lika partnerskap mellan regeringen, företag, och akademiska specialister.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.