De Australische regering Cyber Security Strategie staat voor ernstige problemen. Bescheiden inspanningen werden overspoeld door de realiteit, volgens een zeer kritisch rapport uitgebracht door de Canberra-gebaseerd Australische Strategisch Beleid Instituut (ASPI) op woensdag.
De vooruitgang minder snel dan gehoopt, er is geen duidelijk tijdpad voor de uitvoering, transparantie ontbreekt en partners uit de particuliere sector zijn nog steeds in het donker wat de regering de uitvoering van het plan eigenlijk is.
Slechts vier van de geplande 83 resultaten zijn tot dusver bereikt, aldus het rapport, met het werk op slechts 20 meer “op de rails”. 22 resultaten meer aandacht nodig hebben, en het werk is nog niet eens begonnen op 14 resultaten.
Voor de resterende 11 resultaten, het is onmogelijk te zeggen of het werk vordert goed, of juist niet, omdat de strategie niet het opgeven van een kwalitatieve of kwantitatieve doelstellingen.
“De constante stroom van cyber evenementen in deze maand van de ransomware incident naar Frankrijk, om de verkiezingen te hacken, te benadrukken hoe ernstig een nationale uitdaging cybersecurity is geworden. Helaas, terwijl de regering is hard werken, het tempo en de omvang van het probleem is het ontgroeien van de overheid de huidige inspanningen”, aldus een verklaring van de auteurs van het rapport, principal analyst Liam Nevill en analist Zoe Hawkins van de ASPI ‘ s International Cyber Policy Centre (ICPC).
Volgens hun rapport de ontwikkelingen van dit jaar is “nederig lakmoes test”, met de nadruk van het werk dat nog gedaan moet worden aan het verbeteren van Australië ‘ s cyber houding. In Maart 2017, bijvoorbeeld een rapport van de Australian National Audit Office (ANAO) onthuld wat de ICPC-de zogenaamde “sub-par cybersecurity” in de belangrijkste instanties, het verhogen van vragen over het gebruik van de strategie van de principes.
“De beruchte 2016 #censusfail bleek ook de pijn punten van de australische cyber incident response capability, met inconsistente berichten komen direct naar voren.”
Het verzamelen van gegevens meten van de voortgang van de strategie nog niet is gestart. Volgens Nevill en Hawkins, dat is essentieel voor het begrijpen van de volgende stappen voor cybersecurity in Australië. Het allereerste ontwerp van de strategie is een obstakel, zei ze.
“Een deel van het document de resultaten zijn niet meetbaar, dus vol vertrouwen het meten van het succes is onmogelijk. Veel van de resultaten die zijn praktisch meetbaar zijn gevat in termen van een relatieve verandering maar naar voren worden gebracht zonder de ondersteuning van baseline informatie die nodig is om de voortgang te meten,” aldus het rapport.
“Het is teleurstellend dat de regering uitblijven van een communicatie-strategie geassocieerd met strategie-implementatie betekende dat een samenhangend en alomvattend verhaal over de uitvoering succes moet nog worden ontwikkeld. Dit is niet verwonderlijk, gezien het feit dat de menselijke en financiële middelen die het Departement van de Minister-president en Kabinet [PM&C] zijn gewoon niet in verhouding met de grootte en het belang van de taak.”
Australië ‘ s Cyber Security Strategie werd gelanceerd in April 2016, met de brede doel “de bevordering en de bescherming van onze belangen online”. De overheid bracht een voortgangsrapport, de Eerste Jaarlijkse Update in April 2017, en dat rapport is de basis voor de ICPC-analyse. Het grootste deel van hun 44-pagina ‘ s tellende rapport is een gedetailleerde commentaar op de regering gerapporteerd over de voortgang tegen alle 83 geplande resultaten, evenals de details van het budget van de projecten tot nu toe.
De vier resultaten tot dusver zijn: de benoeming Dan Tehan als Minister Bijstaan van de Minister voor Cyber Security op 18 juli 2016; de Australische Securities and Investments Commission (ASIC) en de Australian Securities Exchange (ASX) de lancering van hun cybersecurity health checks voor ASX100 bedrijven in November 2016, met de door de industrie geleide Cyber Health Check Verslag uitgebracht in April 2017; de Australische Signals Directorate (ASS) is een aanpassing van de Top Vier strategieën te beperken cyber incidenten worden de Essentiële Acht in februari 2017; en het vrijgeven van de strategie van de eerste Jaarlijkse Update in April 2017.
De ICPC-rapport wordt ook opgemerkt verwezenlijkingen, zoals de oprichting van de australische Cyber Security Groei Netwerk (ACSGN) en internationale Austrade landing pads voor startups, en de toewijzing van AU$500 miljoen aan nieuwe financiering voor cybersecurity gerelateerde initiatieven.
De ICPC heeft 11 aanbevelingen over de strategie van de vijf thema ‘ s.
Onder hen zijn de oproepen voor de strategie aan te passen en te evolueren sneller, met meetbare en tijdgebonden jaarlijkse actieplannen.
“De eerste jaarlijkse update lijkt alleen maar te hebben beoordeeld acties, niet-uitkomsten, en daarmee een kans heeft gemist om uit te leggen wat er is veranderd als gevolg van de uitvoering van de strategie inspanningen,” aldus het rapport.
De ICPC pleit ook voor een betere ondersteuning voor de mid-tier en kleine en middelgrote ondernemingen; betere communicatie tussen de raad, het verplaatsen van de publieke bewustwording naar gedragsverandering; en duidelijker structuren van leidinggeven.
“Elementen van cyber beleid verantwoordelijkheid zijn te vinden in de PM&C, het Ministerie van Defensie, DFAT [Ministerie van Buitenlandse Zaken en Handel], de Attorney-General’ s Department, enzovoort. Dit kan uitdagend zijn voor degenen die verantwoordelijk zijn voor de coördinatie van de levering van de initiatieven,” aldus het rapport.
“Terwijl een agentschap langs de lijnen van Singapore’ s Cyber Security Agency is misschien niet het meest passende antwoord voor de Australische Regering, de co-locatie van het personeel op sleutelposities kunnen helpen bij het stroomlijnen van de levering van initiatieven en het verbeteren van de betrokkenheid.”
Ondanks de vele punten van kritiek, maar de ICPC-rapport weerspiegelen enkele resterende vertrouwen.
“De samenvloeiing van leiderschap focus, de schijnwerpers van de media, en een wederzijds verlangen voor publiek-private samenwerking betekent dat de scène wordt ingesteld voor Australië om te leren van deze uitvoering lessen en gezamenlijk vooruit, toegewijd aan het bouwen op de successen van het afgelopen jaar.”