Det Fælles Udvalg af de Offentlige Regnskaber og Revision på torsdag hørt, at Geoscience Australia var en eksekverbar fil fundet på sit system tilbage i 2017, der havde siddet der for “nogle måneder”.
Filen blev fundet af den Australske Signaler Direktorat (ASD) på det tidspunkt, med Geoscience Australia CEO Dr. James Johnson siger, at det var det eneste tidspunkt, han var klar over, at der var en cyber hændelse.
“Vi har haft eksekverbare filer, der findes inden for vores system-på én gang, jeg er klar over, — hvor det blev fundet, og det havde været hjemmehørende i vores system for nogle måneder,” sagde han. “Det var faktisk ikke udviklede sig til et stort problem, og det blev identificeret for os af ASD og vi handlede i overensstemmelse hermed at rette op på det.”
Mens Johnson ikke kunne give en præcis tidslinje, han sagde, at det var i “omkring 2017”, og indrømmet, der var en forsinkelse fra når det blev lagt og når det blev konstateret.
“Hvor vi har identificeret noget på vores netværk, som vi er i tvivl om, at vi deltager med [Australske Cyber Security Center] forholdsvis hurtigt, og også med vores udbyder for IKT-tjenester,” tilføjede Trent Rawlings, der ud over at være Geoscience Australia ‘ s chief operating officer er også ansvarlig for cybersikkerhed.
“Vi er helt sikkert øge løbetiden i dette område af vores overvågning og beredskab, der er, men helt sikkert der har været til dato intet, der har forårsaget betydelige konsekvenser for vores organisation, at vi er klar over.”
I en rapport om cyber modstandskraft fra Australian National Audit Office (ANAO), der blev udgivet et år efter den eksekverbare fil blev fundet, Geoscience Australia var mærket som mangler, hvor den Australske regerings Top 4 driftsstrategier blev berørt.
I begyndelsen af 2017, Top 4 blev udvidet til de Væsentlige Otte.
Efter ANAO sonde, Geoscience Australia enige om, at sikkerhed kropsholdning, med Johnson fortæller udvalget på torsdag, at hans agentur ville være i overensstemmelse med Top-4 kommer 30 juni 2019.
“Vi har aftalt med ANAO resultater og har gennemført en forbedring af sikkerheden program til at løse disse forhold og til at opfylde vores forpligtelser, og forbedre den overordnede styring og forvaltning af cybersecurity,” sagde han.
“Vi er vel mere cyber robust end på tidspunktet for revisionen sidste år.”
Den sikkerhed program, Johnson forklarede, vil gennemføre Top 4 cyber driftsstrategier på væsentlige systemer — user arbejde stationer, e-mails systemer, og godkendelse systemer — som prioriteringer, og “forbedre styring og støtte ordninger, der skal sikre en effektiv drift”.
Johnson indrømmede, at cybersecurity ikke tidligere har været en prioritet for regeringen agentur.
“Som en organisation, der åbent deler de fleste af sine oplysninger, Geoscience Australia har historisk set lagt større vægt på at støtte videnskabelige bestræbelser end cybersecurity. Dette var baseret på den formodning, at en cyber trussel alvorligt påvirker organisationen var lav,” sagde han.
“Betydningen af og afhængighed af IKT-systemer er vokset hurtigt og har ændret risikoprofil, organisation, er vi derfor ændre vores praksis.”
Mens Geoscience Australia gør næsten alle de oplysninger, det holder offentligt tilgængelige, men der er stadig potentiale for personlig information af de ansatte for at blive brudt, for IP-af andre videnskabelige organisationer, den beskæftiger sig med at blive rettet, eller at Geoscience Australia er i sig selv bruges som en kanal i andre offentlige enheder, der har et højere niveau af sikkerhed klassificering.
Ud over at Geoscience Australia at være kompatibel med Top 4 i de kommende måneder, Johnson fortalte de udvalg, den har også gennemført en håndfuld af konkrete foranstaltninger såsom reduktion af antallet af medarbejdere med administrator adgang, afprøvning og indkøb af en whitelisting løsning, og at gennemføre en oplysningskampagne i organisationen.
Den ANAO tastede to andre Commonwealth-enheder, der ud over at Geoscience Australia i sin juni 2018 rapport: Finansministeriet og National Archives i Australien. Det fandt Statskassen var kompatibel og de Nationale Arkiver, som Geoscience Australia, der var mangler.
På det tidspunkt, ANAO sagde, at det havde kun fundet fire offentlige enheder i overensstemmelse med de Øverste 4 krav, når det blev gjort obligatorisk i April 2013, fra 14 organisationer, der havde undersøgt.
RELATEREDE DÆKNING
Australske politiske partier også ramt af statslig aktør i parlamentariske netværk angreb: PMAustralian regering computing netværk nulstille følgende sikkerhed ‘hændelse’ASD afslører regler for at holde sårbarheder secretACSC strammer adgangskontroller for Australske regering systemsAustralian regeringen halter UK udsende DMARC-mail-spoofing preventionCISOs givet cyber ledende rolle i Australiens nye Oplysninger, Sikkerhed ManualAustralia behov for flere cyber-i middleATO krav cyber overensstemmelse med ASD Top 4 strategier, da November5 måder at håndhæve virksomhedens sikkerhed (TechRepublic)
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre