Australska vlada još jednom pokazuje svoj stav prema računalstvu koji ne može učiniti. Zahtijevati od svih agencija da slijede 'najbolje savjete' Australske uprave za signalizaciju jednostavno je preteško.
Australska uprava za signale (ASD), putem svog Australskog centra za kibernetičku sigurnost (ACSC), preporučuje svim organizacijama da implementiraju njegovih Essential Eight kontrola za ublažavanje kibernetičkih napada. Trag je u imenu.
Ali za australsku vladu u cjelini, ne toliko.
A odgovor cijele vlade na dugotrajnu parlamentarnu istragu, objavljenu početkom ovog mjeseca, samo "bilježi" istragu preporuka za mandat Essential Eight kontrolira sve vladine agencije, ali odbija ići dalje od "snažne preporuke" samo četiri od njih.
„Essential Eight predstavlja najbolji savjet ASD-a o mjerama koje subjekt može poduzeti kako bi ublažio prijetnju kibernetičkog incidenta i upravljao svojim rizicima. Međutim, vlada će razmotriti ovlasti Essential Eight kada zrelost kibernetičke sigurnosti poraste među entitetima", stoji u odgovoru.
"Zrelost kibernetičke sigurnosti i provedba strategija Essential Eight unutar entiteta trenutno su i pitanje usklađenosti i upravljanja rizikom za svako odgovorno tijelo, zbog jedinstvenog okruženja rizika i poslovanja svakog od njih entitet."
Odluka da se ne nalažu visoko cijenjene kontrole kibernetičke sigurnosti u suprotnosti je s izjavama o pozicioniranju u odgovoru.
"Zaštita Australije od kibernetičkih prijetnji jedan je od naših najvećih izazova za nacionalnu sigurnost", stoji u odgovoru.
"Vlada je predana osiguravanju da svi entiteti Commonwealtha podignu svoju razinu kibernetičke sigurnosti i razumiju rizike s kojima se suočavaju."
Također je u suprotnosti s pozicioniranjem kontrola unutar vladinog okvira kibernetičke sigurnosti.
Kako bitna osmica postaje bitna, a onda ne
The Bitna Osam bio je objavljeno u veljači 2017, i proširenje je ASD-ove nagrađivane Top Four strategije iz 2011. Oba popisa prioriteta za kontrole kibernetičke sigurnosti razvijena su nakon ASD-ove analize podataka iz stvarnog svijeta.
"ACSC preporučuje da sve organizacije provedu Essential Eight kao osnovu i dodatne strategije ublažavanja iz 37 Strategije osim toga, na temelju izloženosti riziku i kibersigurnosnim prijetnjama koje najviše zabrinjavaju njihovo poslovanje", napisala je agencija 2017.
Do prosinca 2018., Essential Eight postao je središnji dio vladinog novi Priručnik o informacijskoj sigurnosti (ISM), au veljači 2019. ACSC-ovi Essential Eight model zrelostinaložena puna provedba kontrola za potpunu usklađenost s ISM-om.
U međuvremenu, Zajednički odbor za javne račune i reviziju (JCPAA) upit osnovan je početkom 2017. kako bi ispitao a razočaravajuća revizija kibernetičke sigurnosti od strane Australskog državnog ureda za reviziju (ANAO).
Od tri kritične vladine agencije podvrgnute reviziji, samo je Odjel za ljudske usluge (DHS) bio u skladu s Četiri glavne strategije, koje je odredio Odjel glavnog državnog odvjetnika Okvir zaštitne sigurnosne politike (PSPF).
DHS je bila jedina agencija koja je ispravno procijenila sebe u odnosu na prva četiri. Također je bio jedini koji je bio "cyber otporan", odnosno sposoban "nastaviti pružati usluge dok je odvraćao i odgovarao na cyber napade".
Odjel za imigraciju i zaštitu granica (DIBP), sada dio Ministarstva unutarnjih poslova (DHA), i Australski porezni ured (ATO), smatralo se da su "interno otporni", ali općenito nisu usklađeni.
U listopadu 2017. JCPAA je objavio svoj izvješće, Upit o usklađenosti kibernetičke sigurnosti na temelju izvješća glavnog revizora 42 (2016.-17.).
Povjerenstvo je došlo do nerazumnog zaključka da bitno znači bitno.
Šest od osam preporuka odbora prihvaćeno je u odgovoru vlade ovog mjeseca. Sve su to bile nekontroverzne stvari vezane uz dogovore o izvješćivanju. Sedma preporuka upućena je ANAO-u jer je to neovisna agencija.
Pa zašto je preporuka da se odredi Essential Eight prenebregnuta?
Da, zrelost kibernetičke sigurnosti treba se "povećati među entitetima", ali sigurno je postavljanje ciljeva dobro strateško upravljanje, čak i ako su agencijama dani jednostavni rokovi za njihovo postizanje?
The Essential Eight model zrelosti čak daje agencijama proces od tri faze koji treba slijediti.
A detaljna analiza na mjestu javnog sektora Mandarin daje neke tragove.
"Neki članovi odbora misle da bi sadašnji stroži obvezni zahtjevi -- ili barem veća hitnost u ispunjavanju postojećih -- mogli potaknuti brže poboljšanje kibernetičke zrelosti," Mandarin prijavio.
Ali kao što je član JCPAA-e Gai Brodtmann primijetio tijekom nedavnog saslušanja, "očito, obveza nije dovoljno eksplicitna za naše vladine agencije".
“Očito je da Vlada treba artikulirati da nam treba 100 posto usklađenosti, i da je, kao dio tog procesa, to obavezno; to nije izborni dodatak koji su ljudi bacili na cestu posljednjih pet godina," rekla je.
Agencije su izvijestile da možda nemaju resurse ili stručnost, žaleći se na "pretegnute proračune" i "patchwork pristup" vladinoj kibersigurnosti.
DHA je ranije krivio izazove "konsolidacije naslijeđenih ICT okruženja".
Čitajući ovu analizu, vaš pisac nije mogao a da ne pomisli da to baš i nije stav koji može učiniti. To je više nešto što se ne može učiniti. A to nije dovoljno dobro.
Kao i svi parlamentarni odbori, JCPAA je raspušten prije nadolazećih saveznih izbora 18. svibnja, a njegova je istraga istekla.
Međutim, njegov je predsjednik rekao u a izjava [PDF] da odbor "očekuje nastavak istraživanja kibernetičke otpornosti i održavanje daljnjih javnih rasprava tijekom sljedećih mjeseci".
Povezano pokrivanje
86% najboljih australskih web stranica ne može otkriti napade robota: istraživanje
Prema sigurnosnoj tvrtki Kasada, automatizirani napadi punjenjem vjerodajnica daju negativcima veliki povrat ulaganja, no većina ih organizacija ne može uočiti.
Australski proračun 2019.: Cyber jačanje cijele vlade za stvaranje 'cyber sprint timova'
Australska revizija kibernetičke sigurnosti uključivat će ažuriranja vladinih sustava za savezne izbore 2019., kao i stvaranje 'kibernetičkih timova' u okviru ACSC-a i Fonda za odgovor na kibernetičku sigurnost.
Kaspersky CEO: Otvorite svoje izvorne kodove kako biste pridobili povjerenje vlada
Vlade koje gaje sigurnosne brige o sustavima koje su proizvele strane tehnološke tvrtke trebale bi tražiti od ovih dobavljača da otvore svoje izvorne kodove za inspekciju, baš kao što su tehnološki igrači kao što su Huawei i Kaspersky učinili za svoje klijente, kaže Eugene Kaspersky.
Sigurnost sustava Windows 10: vodič za poslovne vođe
Zaštita računala sa sustavom Windows 10 od uobičajenih sigurnosnih problema zahtijeva stalan oprez i trud. Ova e-knjiga objašnjava koje korake poduzeti i na koje rizike trebate paziti.