Noll
Den Gemensamma Kommittén för Offentliga Räkenskaper och Revision (JCPAA) har rekommenderat den Australiska regeringens uppdrag den Australiska Signaler Direktoratet (ASD) Väsentliga Åtta cybersäkerhet strategier av juni 2018 i ett försök att “rädda organisationer avsevärd tid, pengar, kraft och anseende skadas jämfört med att städa upp efter en kompromiss”.
Februari lanseringen av Väsentliga Åtta såg byrån uppdatera sin Topp Fyra riskreducerande strategier som publicerades först i 2011 och som är obligatoriska enligt den Australiska regeringen i 2013.
I sin rapport, It-säkerhet Efterlevs Undersökning baserad på Revisor-rapport 42 (2016-17), JCPAA betonade att det ASD anser det Viktigt Åtta är så effektiv att den “anser dem vara it baseline för alla organisationer”.
Rekommendationen är en av 10 som gjorts av kommittén i sin rapport [PDF], som också omfattar ytterligare åtgärd från riksåklagarens Avdelning (AGD) om it-säkerhet frågor.
En sådan rekommendation är att Revisorn-Allmänt anser att genomföra en revision av effektiviteten i den egna bedömningar och rapportering regimen under den Skyddande Säkerhet Policy Framework, som har utvecklats för att hjälpa Australiensiska myndigheter för att skydda sina människor, information och tillgångar, hemma och utomlands.
På samma sätt som kommittén vill AGD, tillsammans med ASD, att årligen rapportera om the Commonwealth ‘ s it hållning till Parlamentet, till exempel genom den Parlamentariska Kommittén för underrättelse-och säkerhetstjänsten.
“Som en strategisk prioritet, är det viktigt att Commonwealth enheter ansvara för att det Australiska Parlamentet om it-säkerhet,” säger rapporten.
Man vill också slutförandet av ASD undersökningen — skickas årligen till alla offentliga organ att identifiera hög-risk-enheter och erbjuda hjälp-att vara obligatoriskt för alla enheter som omfattas av Offentlig Styrning, Prestanda och Accountability Act 2013.
“Under de senaste åren, den icke-obligatoriska undersökningen har endast genomförts med 30-40 procent av enheterna. Kommittén anser att den ASD undersökning serverar en viktig roll i att hjälpa personer att få cyber segt,” JCPAA skrev.
Ytterligare tre rekommendationer peka ut Australian Taxation Office (ATO) och Department of Immigration and Border Protection (DIBP), med att först fråga den avdelningar för att rapportera till kommittén om de framsteg som gjorts för att uppnå full överensstämmelse med ASD är Topp Fyra begränsningen av juni 2018, inklusive råd om hinder och tidsplaner för att slutföra kvarstående åtgärder.
Kommittén anser att om de nuvarande fyra strategier, 85 procent av riktade it intrång förhindras.
Av oro för att den JCPAA är att i 2015-16, bara 65 procent av icke-corporate Commonwealth enheter rapporterade överensstämmelse med de riskreducerande strategier.
“Detta är trots det faktum att de Fyra Främsta begränsningen utgör minimikrav för enheter,” rapporten förklarar.
ATO: n och DIBP kallades ut av Australian National Audit Office (ANAO) som saknas på it-säkerhet framför tillbaka i Mars.
Samtidigt kan hantera interna hot, ANAO sade ATO och DIBP hade “ett otillräckligt skydd” mot yttre hot, även om de båda parterna hade tidigare sagt att de skulle vara kompatibla komma 2016.
Den ANAO rapport sökt en summa av sju byråer och flaggade bara Department of Human Services har genomförts på ett effektivt sätt ansökan vitlista.
Den ANAO sond också legat till grund för Kommitténs utredning.
Den JCPAA har också bett både ATO och DIBP att rapportera till kommittén om de framsteg som gjorts i genomförandet av de rekommendationer som gjorts av ANAO i sin rapport, inklusive igen råd om hinder och tidsplaner för att slutföra kvarstående åtgärder.
Utskottet sade ATO räknar med att vara fullt kompatibel med 2017, medan DIBP kunde inte ge ett datum för när den förväntar sig att överensstämmelse skall uppnås. DIBP är snart förvandlats till Departementet för Inrikes Frågor, som kommer att arrangeras under ledning av Peter Dutton.
“Utskottet noterar att ATO och DIBP är att arbeta för att förbättra sin styrning och organisatorisk kultur,” säger rapporten. “Med tanke på de risker som har identifierats som att de sannolika effekterna av endera organisationen upplever förlust av data som följd av att de inte cyber segt, detta måste vara en prioriterad fråga.”
Utskottet begär framtida it-säkerhet revisioner har en kontur på beteenden och metoder det skulle förvänta sig i en cyber motståndskraftig enhet.
De två återstående rekommendationer som gjorts av utskottet i fråga om att Internet Gateway Minskning av Programmet, som ursprungligen var avsedd att minska antalet internet-gateways inom regeringen.
Kommittén rekommenderar att den Australiska regeringen gör programmet är obligatoriskt för alla enheter som omfattas av Offentlig Styrning, Prestanda och Accountability Act.
Man vill också att den Digitala Omvandling Agency (DTA) för att rapportera till kommittén om översyn av programmet, särskilt med en rapport om översynen av December 2017, och med April 2018, resultaten av översynen och i samband viktiga åtgärder och motsvarande tidsfrister som gäller.
TIDIGARE OCH RELATERADE TÄCKNING
Översyn ber om hårdare Medicare kort integritets från Mänskliga Tjänster
Flytta autentisering plattform, utbilda medborgarna, och strängare kontroll integritet var bland de åtgärder som rekommenderas för att Department of Human Services en genomgång i heath leverantörer att få tillgång till Hälso-och sjukvårdspersonal Online Services system.
Hemliga F-35, S-8, C-130 stulna data i Australian defence entreprenören hacka
Runt 30 gigabyte ITAR-endast flyg och kommersiella uppgifter var exfiltrated av en okänd skadlig skådespelare under “Alf s Mystery Glad Rolig Tid” attack.
OAIC fick 114 frivilliga dataintrång anmälningar i 2016-17
Kontoret leds av Information och Integritet Kommissionär Timothy Pilgrim fick 114 frivilliga dataintrång anmälningar, 35 obligatorisk digital health data meddelanden, och 2,494 sekretess-relaterade klagomål under den senaste 12-månaders perioden.
0