Nul
Det Fælles Udvalg af de Offentlige Regnskaber og Revision (JCPAA) har anbefalet, at den Australske regering mandat den Australske Signaler Direktorat (ASD) Væsentlige Otte cybersecurity strategier af juni 2018 i et forsøg på at “gemme organisationer lang tid, penge, kræfter og omdømme i forhold til at rydde op efter et kompromis”.
Februar lanceringen af de Væsentlige Otte så agenturet opdaterer sin Top Fire risikobegrænsende strategier, der blev udgivet første gang i 2011 og er gjort obligatoriske af den Australske regering i 2013.
I sin rapport, Cybersecurity Compliance-Undersøgelse baseret på Auditor-General rapport 42 (2016-17), JCPAA fremhævet, at ASD, mener, at det Afgørende Otte er så effektiv, “anser dem for at være den cybersecurity baseline for alle organisationer”.
Anbefalingen er en af 10 er foretaget af udvalget i sin rapport [PDF], som også indeholder yderligere handling fra justitsminister s Department (AGD) på cybersecurity spørgsmål.
En sådan anbefaling er, at rigsrevisionen mener, at gennemføre en revision af effektiviteten af den selv-vurdering og rapportering ordning under den Beskyttende Sikkerhed Politiske Rammer, som blev udviklet for at hjælpe Australske regering enheder i at beskytte deres folk, information, og aktiver, hjemme og i udlandet.
På samme måde, udvalget ønsker, at de AGD, sammen med ASD, til årligt at rapportere om Commonwealth cybersecurity stilling til Parlamentet, som gennem folketingets Paritetiske Udvalg for Intelligence and Security.
“Som en strategisk prioritet, er det afgørende, at Commonwealth enheder, være ansvarlig over for den Australske Parlament på cybersikkerhed,” hedder det i rapporten.
Den ønsker også afslutningen af ASD undersøgelse — sendes årligt til alle offentlige instanser til at identificere høj-risiko enheder og tilbyder bistand — at være obligatorisk for alle enheder, der er dækket under den Offentlige Styring, Performance og Accountability Act 2013.
“I de seneste år, ikke-obligatorisk survey har kun været afsluttet med 30-40 procent af enheder. Udvalget mener, at ASD survey tjener en vigtig rolle i at hjælpe enheder til at være cyber modstandsdygtige,” JCPAA skrev.
En anden tre anbefalinger enkelt ud af Australian Taxation Office (ATO) og Department of Immigration and Border Protection (DIBP), med den første spørger de afdelinger, der er til at aflægge rapport til komiteen om deres fremskridt med henblik på at opnå fuld overensstemmelse med ASD ‘ s Top Fire driftsstrategier af juni 2018, herunder rådgivning om barrierer og tidsfrister for at gennemføre aktionerne.
Udvalget mener, at hvis de nuværende fire strategier er implementeret, 85 procent af målrettede cyber indtrængen ville blive forhindret.
Af interesse for JCPAA er, at i 2015-16, kun 65 procent af ikke-corporate Commonwealth enheder rapporterede overensstemmelse med de risikobegrænsende strategier.
“Dette er på trods af det faktum, at de Fire Øverste risikobegrænsende strategier er minimum krav for enheder,” den rapport, der forklarer.
Den ATO, og DIBP blev kaldt ud af Australian National Audit Office (ANAO), som mangler på cybersecurity front tilbage i Marts.
Mens i stand til at håndtere interne trusler, ANAO sagde ATO og DIBP havde “utilstrækkelig beskyttelse” mod eksterne trusler, selv om begge myndigheder har tidligere sagt, at de ville være i overensstemmelse kommer 2016.
Den ANAO rapport kortlagde i alt syv kontorer og markeres kun Department of Human Services, som har gennemført effektivt application hvidlistning.
Den ANAO probe også dannet grundlag for det Fælles Udvalg efterforskningen.
Den JCPAA har også spurgt både ATO og DIBP til at aflægge rapport til komiteen om deres fremskridt i gennemførelsen af de anbefalinger, som ANAO i sin rapport, herunder igen råd til, barrierer og tidsfrister for at gennemføre aktionerne.
Udvalget sagde ATO forventer at være i fuld overensstemmelse med 2017, mens DIBP kunne ikke give en dato for hvornår den forventer, at compliance at være nået. DIBP er hurtigt at blive forvandlet til Afdelingen for Indre Anliggender, som vil blive overvåget af Peter Dutton.
“Udvalget bemærker, at den ATO, og DIBP, der arbejder på at forbedre deres styring og organisatorisk kultur”, siger rapporten. “I betragtning af de risici, som er blevet identificeret som den sandsynlige konsekvenser af enten en organisation, der oplever tab af data som følge af ikke at være cyber-robust, dette skal være en prioritet.”
Udvalget anmoder om fremtiden cybersecurity revision af overholdelse omfatte en oversigt på den adfærd og praksis, at det ville forvente i en cyber robust enhed.
De to resterende anbefalinger fra udvalget er i forhold til Internet Gateway Reduktion Program, der oprindeligt var designet til at reducere antallet af internet gateways inden for regeringen.
Udvalget anbefaler, at den Australske regering gør programmet obligatorisk for alle virksomheder, som falder ind under den Offentlige Styring, Performance og Accountability Act.
Det ønsker også, at den Digitale Transformation Agency (DTA) om at aflægge rapport til udvalget om revision af programmet, specielt med en fremskridtsrapport om revision af December 2017, og i April 2018, resultater af revisionen og tilhørende nøgle handlinger og de tilsvarende frister.
TIDLIGERE OG RELATEREDE DÆKNING
Revisionen anmoder om strammere Medicare kort privatlivets fred kontrol fra Human Services
At flytte godkendelse platform, uddanne borgerne, og strengere fortrolighed kontrol var blandt de skridt, der anbefales til Department of Human Services ved en revision i heath udbyderes adgang til Sundhed Professionel Online Service system.
Hemmelige F-35, S-8, C-130 data stjålet i Australske forsvar entreprenør hack
Omkring 30 gigabyte ITAR-begrænset rumfart og kommercielle data blev exfiltrated af en ukendt ondsindede skuespiller i “Alf’ s Mystery Glad Sjov Tid” angreb.
OAIC modtaget 114 frivillig anmeldelse af brud på datasikkerheden i 2016-17
Kontoret ledes af Oplysninger og Privatlivets fred Kommissær Timothy Pilgrim modtaget 114 frivillig anmeldelse af brud på datasikkerheden, 35 obligatorisk digital sundhed data meddelelser, og 2,494 privacy-relaterede klager i løbet af en 12-måneders periode.
0