Čeprav je oddelek generalnega državnega tožilca odgovoren za določanje politike kibernetske varnosti in spremljanje njenega upoštevanja na vseh področjih, in ministrstvo za obrambo sta povedala, da je to odgovornost samih subjektov Commonwealtha in da je treba vsa vprašanja nasloviti na takega.
Med zaslišanjem, ki ga je prejšnji mesec pripravil skupni odbor za javne račune in revizijo o odpornosti subjektov Commonwealtha na kibernetsko varnost, zvezna opozicija je naredila luknje v trenutnih zahtevah glede poročanja in poudarila pomanjkanje odgovornosti, ko se pojavijo subjekti Commonwealtha kratek.
Avstralski nacionalni revizijski urad (ANAO) soočili s strelno črto, pri čemer je odbor vprašal, zakaj okvir zaščitne varnostne politike (PSPF) ni postal obvezen za vse entitete Commonwealtha in zakaj se glede na to, da se imenujejo Essential Eight, preučujejo le štiri najboljše pri.
"Znotraj javnega sektorja Commonwealtha ni nenavadno, da veljajo predpisana pravila centra za nepodjetniškemu sektorju, vendar ne celotnemu podjetniškemu sektorju," je dejal generalni revizor Grant Hehir na čas. "To boste ugotovili na številnih področjih, kot so javna naročila, nepovratna sredstva in [PSPF]."
Leta 2019 je ANAO pri revizijah kibernetske odpornosti ugotovila, da je 29 % revidiranih agencij skladnih s štirimi najboljšimi, medtem ko se je 60 % samoocen oddelkov izkazalo za skladnih.
Pomočnik ministra za kibernetsko varnost v senci Tim Watts je to označil za netočno samooceno.
"Če pogledate dokaze iz naših revizij, lahko sklepamo, da je okvir, v katerem je bil kraj ni vodil vedenjske spremembe, da bi zagotovil, da je regulativna drža dovolj robustna,« Hehir rekel.
"Mislim, da so to bolj vprašanja za organizacije, ki so odgovorne za postavitev okvira, ne pa za nas. Vendar bi radi videli, da se okvir izvaja, kar bo povzročilo kibernetsko varnost, in če ne, potem je argument, zakaj ne? Nekaj tega mora iti na robustnost regulativnega okvira."
Ministrstvo generalnega državnega tožilca (AGD) in ministrstvo za notranje zadeve sta ključna regulatorna subjekta. AGD je odgovoren za določanje smernic vladne zaščitne varnostne politike, vključno z varnostjo informacij, prek PSPF.
Zagotavljanje a predložitev [PDF] odboru po zaslišanju je AGD dejal, da je kibernetska varnost pomembna prednostna naloga avstralske vlade.
"PSPF pomaga subjektom Commonwealtha pri zaščiti njihovih ljudi, informacij in sredstev doma in v tujini. Osnovne zahteve za varnost informacij so določene v politikah od osem do 11 PSPF, ki zajemajo občutljive in tajni podatki, dostop do informacij, varovanje informacij pred kibernetskimi grožnjami in robustni sistemi IKT,« je povedal komite.
Prav tako je dejal, da avstralski center za kibernetsko varnost (ACSC) v okviru avstralskega direktorata za signale (ASD) vodi operacijo avstralske vlade. zmogljivosti kibernetske varnosti in dejal, da je ACSC odgovoren za pripravo avstralskega vladnega priročnika informacijske varnosti (ISM), ki je v PSPF naveden kot ključni vir smernic za organizacije, ki ščitijo informacije pred kibernetskimi grožnjami in razvijajo "trdne" IT sistemi.
"Namen ISM je orisati okvir kibernetske varnosti, ki ga lahko organizacije uporabijo njihov okvir za obvladovanje tveganja, da zaščitijo svoje informacije in sisteme pred kibernetskimi grožnjami,« AGD napisal.
AGD je dejal, da PSPF zahteva, da subjekti Commonwealtha, ki niso podjetja, izvajajo štiri od osmih bistvenih strategij ACSC za ublažitev, in "močno priporoča sprejetje vseh osmih".
"Subjekti morajo upoštevati tudi druge strategije, vključene v strategije ACSC za zmanjšanje kibernetskih varnostnih incidentov," je dodal.
Rečeno je tudi, da je treba vsa vprašanja o določenih subjektih in njihovem kibernetskem položaju nasloviti nanje.
"Ker so posamezni subjekti Commonwealtha odgovorni za svojo oceno glede na svoje okolje tveganja, vprašanja v zvezi z izvajanjem PSPF znotraj posameznega subjekta je najbolje nasloviti na ta subjekt," it napisal.
Zagotavlja tudi a predložitev [PDF] po preiskavi ANAO prejšnjega meseca je Ministrstvo za obrambo v imenu ASD.
Obramba je opozorila na Poročilo parlamentu o kibernetski varnosti Commonwealtha v letu 2019 in to rekel posredoval najnovejše informacije o kibernetski varnosti subjektov Commonwealtha.
"Poročilo poudarja, da se splošna kibernetska varnost subjektov Commonwealtha še naprej izboljšuje," je zapisano. "Priznava, da je kibernetska varnost stalna naloga v kontekstu dinamičnega in razvijajočega se okolja groženj."
Rečeno je, da medtem ko ASD redno sodeluje s subjekti Commonwealtha, da zagotovijo nasvete glede kibernetske varnosti in pomoči so posamezni subjekti odgovorni za varnost lastnega omrežja in informacije.
»Zrelost kibernetske varnosti je vprašanje skladnosti in obvladovanja tveganja, ki ga mora uravnotežiti vsak odgovorni organ kontekstu njihovega edinstvenega okolja tveganja in zapletenosti njihovih operacij,« je navedeno v prispevku nadaljevano.
"Vprašanja v zvezi s stanjem kibernetske varnosti posameznih subjektov Commonwealtha je bolje nasloviti na ustrezen subjekt."
VEČ AVSTRALSKEGA KYBERA
- Laburisti želijo poimenovati in osramotiti slabo kibernetsko držo entitete Commonwealtha
- Morebitne kršitve podatkov predstavljajo 14 % incidentov v Commonwealthu, o katerih poročajo ACSC
- Avstralski oblikovalci kibernetskih politik se bodo soočili s preiskavo urada za revizijo
- Žalostna saga o kibernetskem vohunjenju avstralskega parlamenta je pomembna lekcija za druge
- Kako B-Team bdi nad avstralsko zakonodajo o šifriranju in kibernetsko varnostjo
- Strategija kibernetske varnosti 2020: Strokovnjaki civilne družbe kritikujejo agendo „nacionalne varnosti“.
- Delavstvo se sprašuje, kako bi Avstralija ravnala z izbruhom kibernetske korone