La protección de los datos de los contribuyentes, la salud y Centrelink contra los ataques de bots y otros delitos cibernéticos se reforzará a medida que el gobierno trabaje para bloquear los datos confidenciales.
Los documentos de licitación muestran que el Departamento de Finanzas está buscando una mejor seguridad después de que los ataques de piratería en Optus y Medibank expusieran los datos de millones, dejando a las personas expuestas a la extorsión y el robo de identidad.
El departamento administra GovCMS, que se ocupa del contenido y los servicios para agencias gubernamentales como la Oficina de Impuestos de Australia y el Departamento de Servicios Sociales.
Los documentos, buscando un proveedor, son claros sobre lo que se busca.
“Los servicios deben proteger contra una gran variedad de tipos de ataques de ciberseguridad, incluidos todos los ataques de ciberseguridad contra los que se esperaría que protegiera un servicio sofisticado”, se lee.
Continúa enumerando las oleadas de “denegación de servicio” y los ataques de bots entre las amenazas.
Respuesta ajustada
La ministra de Finanzas, Katy Gallagher, se negó a comentar sobre la licitación o el valor del contrato.
La > significa que habrá mucho trabajo durante las vacaciones de Navidad, porque los documentos le piden a cualquier proveedor potencial que se asegure de que los servicios:
“… están operativos y listos para responder automáticamente a cualquier tráfico de ataque malicioso el 27 de abril de 2023 o antes”.
Los requisitos son grandes.
Los servicios deben proteger los sitios web que llegan a millones de personas, con los documentos que establecen qué tan ocupados pueden estar los sitios y qué se necesita.
- 370 sitios web individuales
- 120 terabytes de tráfico al mes
- 1.500 millones de visitas al mes
Los documentos tienen un título seco: “Solicitud de propuesta para la prestación de servicios de protección de aplicaciones web (CDN, DDoS, WAF y gestión de bots)”, y carecen de un elemento clave: el costo.
No hay un rango de precios adjunto al contrato de dos años, que tiene un período de extensión potencial de un año.
Prohibición de minería de datos
Los datos de los clientes están configurados para protegerse de una manera adicional, con la compañía de seguridad prohibida de “minarlos”.
La minería de datos ocurre cuando se analizan grandes bases de datos para descubrir nueva información, como tendencias.
A menos que haya una aprobación por escrito, el proveedor de seguridad tiene prohibido extraer cualquier “material del cliente, material del usuario o información cargada, accedida o manipulada en los servicios por el cliente”.
La prohibición continúa incluso si los clientes tienen que hacer clic y aceptar una página de términos y condiciones.
“Dichos términos no tienen efecto alguno”, enfatizan los documentos de licitación.