Geoscience Australia、未知の不正ファイルの発見を受けてトップ 4 準拠へ

  • Sep 02, 2023

不十分な監査結果と不正ファイルの発見を受けて、政府機関は 2019 年 6 月 30 日から、現在は置き換えられているサイバーセキュリティのトップ 4 緩和戦略に準拠することになります。

公会計監査合同委員会は木曜日、Geoscience Australia のシステム上で 2017 年に「数か月間」放置されていた実行可能ファイルが見つかったと報告を受けた。

このファイルは、当時のオーストラリア信号局 (ASD) と地球科学オーストラリアによって発見されました。 CEOのジェームス・ジョンソン博士は、これがサイバー攻撃を構成する唯一の事例であると認識していると述べた 事件。

「私たちのシステム内で実行可能ファイルが見つかったことはありますが、私が知っている限りでは、それが発見され、数か月間システム内に常駐していました」と同氏は述べた。 「実際には大きな問題には発展しておらず、ASDによって私たちのために特定され、私たちはそれを修正するために適切に行動しました。」

ジョンソン氏は正確な時期については明らかにできなかったものの、「およそ2017年」だったと述べ、設置されてから発見されるまでに時間差があったことを認めた。

「ネットワーク上で不確かな点を特定した場合、私たちは[オーストラリア サイバー セキュリティ センター]とかなり迅速に連携し、また当社の ICT サービスのサービスプロバイダーです」と、Geoscience Australia の最高執行責任者であることに加えて、 サイバーセキュリティ。

「私たちは監視と対応能力のその分野での成熟度を確実に高めていますが、 確かに、これまでのところ、私たちの組織に重大な影響を与えたものは何もありません。 承知しております。」

サイバーレジリエンスに関するレポート 実行可能ファイルが発見されてから 1 年後に公開されたオーストラリア国立監査局 (ANAO) からの情報、 Geoscience Australia は、オーストラリア政府のトップ 4 の緩和戦略が欠けているとレッテルを貼られた 心配している。

2017 年初めのトップ 4 は エッセンシャル 8 に拡張.

ANAOの調査を受けて、オーストラリア地球科学研究所はセキュリティ体制を強化することに同意し、ジョンソン氏は木曜日の委員会に対し、彼の代理店は2019年6月30日までにトップ4に準拠するだろうと述べた。

「私たちは ANAO の調査結果に同意し、それらの調査結果に対処するためのセキュリティ改善プログラムを実装しました。 そしてコンプライアンスの義務を果たし、サイバーセキュリティの全体的なガバナンスと管理を改善するためです」と彼は述べた。 言った。

「当社は昨年の監査時よりもサイバー耐性が大幅に向上しています。」

ジョンソン氏の説明によると、このセキュリティ プログラムでは、ユーザー ワークステーション、 電子メール システムと認証システムを優先事項とし、「ガバナンスとサポート体制を強化して、それらのシステムが効果的に機能するようにする」 手術"。

ジョンソン氏は、これまで政府機関にとってサイバーセキュリティが優先事項ではなかったことを認めた。

「情報の大部分をオープンに共有する組織として、Geoscience Australia は歴史的にサイバーセキュリティよりも科学的取り組みをサポートすることを優先してきました。 これは、組織に深刻な影響を与えるサイバー脅威は低いという推定に基づいている」と同氏は述べた。

「ICT システムの重要性と依存度が急速に高まり、組織のリスク プロファイルが変化したため、私たちは慣行を変更しています。」

Geoscience Australia は、保有する情報のほぼすべてを公開していますが、スタッフの個人情報が侵害される可能性が依然としてあります。 対象となるために関与している科学組織、または、Geoscience Australia 自体が、より高いレベルのセキュリティを持つ他の政府機関へのパイプとして使用されている 分類。

ジョンソン氏は、ジオサイエンス・オーストラリアが今後数カ月以内にトップ4に準拠することに加えて、次のようないくつかの具体的な措置を講じたと委員会に語った。 管理者アクセス権を持つスタッフの数を減らし、ホワイトリストに登録するソリューションを試行および調達し、社内で意識向上キャンペーンを実施するなどです。 組織。

ANAOは、2018年6月の報告書で、Geoscience Australiaに加えて、財務省とオーストラリア国立公文書館という連邦政府の他の2つの組織を調査した。 その結果、財務省は準拠していたが、オーストラリア地球科学研究所と同様、国立公文書館は対応が不十分であったことが判明した。

当時、ANAOは、トップ4の要件を満たしている政府機関は4つしか見つからなかったと述べた。 義務化された 2013 年 4 月、調査した 14 の組織から。

関連記事

  • オーストラリアの政党も議会ネットワーク攻撃で国家主体に攻撃=首相
  • オーストラリア政府のコンピューティングネットワーク、セキュリティ「事件」を受けてリセット
  • ASD、脆弱性を秘密にするためのルールを明らかに
  • ACSC、オーストラリア政府システムのアクセス制御を強化
  • オーストラリア政府はDMARC電子メールなりすまし防止の展開で英国に遅れをとっている
  • オーストラリアの新しい情報セキュリティマニュアルでCISOにサイバーリーダーの役割が与えられる
  • オーストラリアは中間層のサイバーをさらに必要としている
  • ATO は 11 月以降、ASD トップ 4 戦略に対するサイバー コンプライアンスを主張
  • 企業のセキュリティを強化する 5 つの方法 (テックリパブリック)