Kontrolný úrad uviedol, že nepodnikové subjekty Commonwealthu neboli brané na zodpovednosť za to, že nespĺňajú povinnú kybernetickú bezpečnosť požiadavky v rámci Ochrannej bezpečnostnej politiky, konkrétne mandát na ochranu informácií pred kybernetickou sieťou vyhrážky.
Austrálsky národný kontrolný úrad (ANAO) uviedol, že zváži pokračovanie transparentnosti prostredníctvom podávania správ parlamentu pokiaľ ide o riziko kybernetickej bezpečnosti, je to pozitívne, ale naďalej sa obáva, že to nemusí stačiť na riadenie zlepšenie.
In dokumentáciu [PDF] pripravený pre Spoločný výbor pre verejné účty a audit (JCPAA), ANAO povedal, že je jasné, že samotný audit a podávanie správ nepriniesli zlepšenie v súlade s vládnou kybernetickou bezpečnosťou politika.
„Nekorporatívne subjekty Commonwealthu neboli brané na zodpovednosť za nesplnenie povinných požiadaviek na kybernetickú bezpečnosť podľa PSPF Policy 10,“ napísal s odkazom na rámec politiky ochrany bezpečnosti (PSPF) Policy 10, ktorý je zameraný na ochranu informácií pred kybernetickými vyhrážky.
"Súčasný rámec na podporu zodpovedných ministrov pri vyvodzovaní zodpovednosti subjektov v rámci vlády nestačí na zlepšenie implementácie povinných požiadaviek."
JCPAA minulý rok preskúmala a pár z správy z ANAO a vo svojej vlastnej správe zverejnenej v decembri predložila niekoľko odporúčaní. Jedno z odporúčaní žiadalo ANAO, aby zvážila vykonanie každoročného preskúmania obmedzenej záruky kybernetickej odolnosti subjektov Commonwealthu.
"Preskúmanie by malo preskúmať a podať správu o rozsahu, v akom subjekty začlenili kultúru kybernetickej odolnosti prostredníctvom zosúladenia s rámcom ANAO 13 správania a praktík," požiadal JCPAA. „Preskúmanie by malo preskúmať aj súlad korporátnych a nekorporátnych subjektov so základnou osmičkou stratégie zmierňovania v príručke informačnej bezpečnosti a bude sa vykonávať päť rokov počnúc júnom 2022."
ANAO uviedla, že implementácia odporúčania priniesla množstvo praktických problémov vyplývajúcich z auditu perspektívy, pričom prvou z nich je, že sa domnieva, že pravdepodobne existujú obavy z rizika kybernetickej bezpečnosti, ktoré vyvolali ASD.
„ASD odporučila, že správa na úrovni systému by predstavovala kybernetické riziká, o ktorých sa domnieva, že by boli neprijateľné. Vzhľadom na to, že ASD je technickým expertom, má najlepšie predpoklady posúdiť tieto riziká, a preto je pre ANAO ťažké zaujať iný názor,“ uvádza sa v správe.
ANAO tiež považuje rozsah navrhovaný v odporúčaní za náročný vzhľadom na to, že len nekorporačné subjekty Commonwealthu majú mandát uplatňovať PSPF. Uviedla, že skutočnosť, že v súčasnosti existuje 98 nekorporátnych subjektov, ktoré podliehajú tejto politike, tiež vytvorila problém s rozsahom.
„Neexistencia uistenia o materiáloch, ktoré subjekty nahlásili AGD vo svojich sebahodnoteniach, znamená, že audítorské postupy by je potrebné vykonať v rámci celého súboru sebahodnotenia subjektov (celej vzorky alebo vzorky založenej na riziku), aby sa zabezpečila presnosť,“ ANAO pridané.
Uviedla tiež, že postupy obmedzeného uistenia nevedú k správe, ktorá informuje Parlament o skutočnom vykonávaní požiadavky kybernetickej bezpečnosti.
„Súčasná práca ANAO v oblasti kybernetickej bezpečnosti v rámci auditov účtovných závierok (IT kontroly) aj v audity výkonnosti naznačujú, že ANAO pravdepodobne nájde problémy s presnosťou sebahodnotenia,“ napísalo.
"V prípade, že sa zistia problémy s presnosťou, ANAO by dospela k záveru, že na správu sa nemožno spoľahnúť, ale neinformovala by o tom, či subjekty skutočne spĺňajú požiadavky PSPF."
SÚVISIACE POKRYTIE
ANAO zistila, že dve vládne oddelenia nepresne nahlásili kybernetické dodržiavanie pravidiel
Správa kontrolného úradu uvádza odbor generálneho prokurátora a odbor predsedu vlády a Kabinet presne sám neuviedol úplnú implementáciu jednej alebo viacerých štyroch hlavných stratégií zmierňovania.
ACSC predstavuje kybernetickú zrelosť nultej úrovne Essential Eight a prispôsobuje úrovne obchodu
Prepracovanie modelu zrelosti Essential Eight vidí úrovne zosúladené so sofistikovanosťou kybernetického obchodu, ktorej sa treba snažiť zabrániť.
Za kybernetickú bezpečnosť zodpovedajú agentúry, nie my, hovoria AGD a ASD
Napriek tomu, že je zodpovedný za stanovenie politiky kybernetickej bezpečnosti a monitorovanie jej dodržiavania vo všetkých oblastiach, oddelenie generálneho prokurátora a ministerstvo obrany uviedlo, že je to zodpovednosť samotných subjektov Commonwealthu a akékoľvek otázky by mali byť smerované ako taký.