National Archives i Australien for nylig kom under kontrol fra Australian National Audit Office (ANAO) for at mangle på det sikkerhedspolitiske område, hvor den føderale regerings Top 4 driftsstrategier blev berørt.
Men mens de Nationale Arkiver arbejder i øjeblikket på sin vej gennem implementering af en cyber modstandsdygtighed ramme, director-general David Fricker er i tvivl om Commonwealth virksomhedens evne til at opnå fuld overensstemmelse og måle, at sådanne bestemmelser overholdes i overensstemmelse hermed.
“Jeg er tilfreds med omfanget af den rådgivning, som vi modtager i form af, hvad der kræves for at opnå denne overensstemmelse, men jeg er bekymret over vores evne til at opnå overensstemmelse og også vores egne kvalifikationer inden for organisationen til selv at vurdere, at vi har opnået overholdelse,” Fricker fortalte det Fælles Udvalg af de Offentlige Regnskaber og Revision på torsdag.
Mens han indrømmede, at blot at gennemføre de Væsentlige Otte — der er en regering-mandat forlængelse af de Øverste 4 — bør fjerne de fleste af de risici, der er hans agentur ville ansigt, Fricker er også bevidste om behovet for at ikke tillade at lade stå til.
“Der er stadig en bekymring for, at, hvis vi læser alt for bogstaveligt, at rådgivning, er vi tilbøjelige til at gå glip af nogle store tekniske sårbarheder og derefter fortsætter vi med saligt at tro, at vi er i overensstemmelse med reglerne, men vi er ikke,” forklarede han.
“Jeg tror, at den rådgivning, vi har modtaget, er godt; dog, jeg tror større pointen er, at med selv-vurdering og tillid til de enkelte organer, hver med en ujævn kapacitet og en ulige teknisk viden, vi kommer ikke til at opnå en konsekvent modstandsdygtighed i hele samfundet.
“Der er altid vil være agenturer blandt os, som udgør de svageste led i kæden … min bekymring er, at dette vil fortsætte med at være en “bedste indsats” svar. Jeg kan aldrig tro, at vi er 100 procent kompatible, fordi jeg tror, selvtilfredshed racer omsorgssvigt.”
Fricker sagde de Nationale Arkiver, som ikke har et system, der bekræfter en person fra i organisationen for at kunne vurdere cyber risici, men snarere, at det er “it-professionelle”, der er “helt i stand til at køre og administrere netværk”.
Han sagde dog, at de ikke nødvendigvis har den nødvendige viden om internetsikkerhed.
Det var tydeligt, når de Nationale Arkiver, der ledes ned whitelisting vej.
“Vi må selv vurdere, inden de Arkiver, men vi lavede en fejl i fortolkningen af retningslinjer omkring whitelisting, og som et resultat af, at vi har overset et område på vores netværk, der skulle have haft whitelisting gennemført,” Fricker sagde.
“Under revision, og dette blev anerkendt som en smule uklarhed i formuleringen af den rådgivning, men en mere kvalificeret person indenfor vores organisation ville have opfanget, at tvetydighed og svarede, at det med en meget dybere forståelse af risiko og arten af den risiko.”
Svar til ANAO sonde, National Archives har gennemført en cybersecurity modstandsdygtighed ramme, som agenturet assistant director-general informations-teknologi og CIO Yaso Arumugam sagde omfatter en tre-årig køreplan for at hjælpe det med at få en “ordentlig cyber-modstandsdygtighed kropsholdning”, der dækker de Væsentlige Otte.
Hun sagde, at rigsarkivet har også gjort fremskridt siden revision, begyndte at komme til mindst top-fire overensstemmelse i løbet af de næste par måneder.
Når du bliver spurgt af udvalget, hvis budgettet blev sager, der hindrer National Archives’ aktualitet i gennemførelsen af sådanne foranstaltninger, Fricker svarede blot med “Ja”.
RELATEREDE DÆKNING
Geoscience Australia til at være Top-4 kompatibel efter opdagelsen af ukendte rogue fil
Efter en dårlig revision resultat, og opdagelsen af et rogue-fil, regeringen enhed, vil være i overensstemmelse med det som nu er afløst Top 4 driftsstrategier for cybersikkerhed kommer 30 juni 2019.
ASD afslører regler for at holde sårbarheder hemmelighed
Da Australien er signals intelligence agency finder en cybersecurity sårbarhed, det oplyser it-undtagen i enkelte tilfælde, hvor det kan hjælpe med til at opfylde en “kritisk intelligens krav”.
5 måder at håndhæve virksomhedens sikkerhed (TechRepublic)
Der er flere tiltag, virksomheder kan tage for at forbedre medarbejdernes samlede bevidsthed om sikkerhed. Se de fem nedenfor.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre