Das Australian National Audit Office (ANAO) hat erklärt, dass es die kontinuierliche Transparenz durch Berichterstattung an das Parlament über Cybersicherheitsrisiken als positiv betrachtet, aber es blieb besorgt, dass dies möglicherweise nicht ausreicht, um Verbesserungen voranzutreiben.
In der für den Joint Committee of Public Accounts and Audit (JCPAA) erstellten Dokumentation [PDF] sagte die ANAO, es sei klar, dass die Prüfung und Berichterstattung allein nicht zur Verbesserung der Einhaltung der Cybersicherheitspolitik der Regierung geführt habe.
„Nicht-Unternehmenseinheiten des Commonwealth wurden nicht dafür zur Rechenschaft gezogen, dass sie die obligatorischen Cybersicherheitsanforderungen gemäß PSPF-Richtlinie 10 nicht erfüllen“, schrieb sie in Bezug auf die Richtlinie 10 des Protective Security Policy Framework (PSPF), die konzentriert sich auf den Schutz von Informationen vor Cyber-Bedrohungen.
“Der derzeitige Rahmen zur Unterstützung verantwortlicher Minister bei der Rechenschaftspflicht innerhalb der Regierung reicht nicht aus, um Verbesserungen bei der Umsetzung verbindlicher Anforderungen zu erreichen.”
Der JCPAA hat letztes Jahr zwei Berichte der ANAO geprüft und eine Reihe von Empfehlungen in seinem eigenen Bericht, der im Dezember veröffentlicht wurde. Eine der Empfehlungen forderte ANAO auf, die Durchführung einer jährlichen Überprüfung der Cyber-Resilienz von Commonwealth-Unternehmen mit begrenzter Sicherheit in Erwägung zu ziehen”Die Überprüfung sollte untersuchen und darüber berichten, inwieweit Unternehmen eine Cyber-Resilienzkultur durch Anpassung an den Rahmen von 13 Verhaltensweisen und Praktiken der ANAO eingebettet haben”, forderte die JCPAA. “Die Überprüfung sollte auch die Einhaltung der Essential Eight-Minderungsstrategien im Informationssicherheitshandbuch durch Unternehmen und Nicht-Unternehmen prüfen und ab Juni 2022 fünf Jahre lang durchgeführt werden.”
Die ANAO sagte, dass die Umsetzung der Empfehlung aus Prüfungssicht eine Reihe praktischer Herausforderungen mit sich gebracht habe, wobei die erste davon ausgeht, dass es wahrscheinlich Bedenken hinsichtlich Cybersicherheitsrisiken gibt, die von ASD geäußert werden.
“ASD hat darauf hingewiesen, dass eine Systemebene Bericht würde Cyber-Risiken bergen, die seiner Meinung nach inakzeptabel wären. Da ASD der technische Experte ist, ist es am besten in der Lage, diese Risiken einzuschätzen, und es ist daher für die ANAO schwierig, eine andere Sichtweise einzunehmen”, sagte er.
Die ANAO betrachtet den in der Empfehlung vorgeschlagenen Anwendungsbereich auch als Herausforderung, da nur Nicht-Unternehmen des Commonwealth mit der Anwendung des PSPF beauftragt sind. Die Tatsache, dass derzeit 98 Nicht-Körperschaften unter die Richtlinie fallen, habe ebenfalls eine Herausforderung für den Umfang geschaffen.
“Das Fehlen von Gewissheit über Material, das die Unternehmen in ihren Selbstbewertungen an AGD gemeldet haben, bedeutet, dass Prüfungshandlungen für die gesamte Grundgesamtheit der Selbstbewertungen der Unternehmen (Gesamt- oder risikobasierte Stichprobe) durchgeführt werden müssten. um die Genauigkeit zu gewährleisten”, fügte ANAO hinzu.
Es heißt auch, dass Verfahren mit begrenzter Sicherheit nicht zu einem Bericht führen, der das Parlament über die tatsächliche Umsetzung der Cybersicherheitsanforderungen informiert.
“Aktuelle ANAO-Arbeiten im Bereich Cybersicherheit sowohl bei Abschlussprüfungen (IT-Kontrollen) als auch bei der Leistung Audits deuten darauf hin, dass die ANAO wahrscheinlich Probleme mit der Genauigkeit der Selbstbewertungen findet”, schrieb sie.
“Sollten Genauigkeitsmängel festgestellt werden, würde die ANAO zu dem Schluss kommen, dass man sich nicht auf den Bericht verlassen kann, würde jedoch nicht darüber berichten, ob die Unternehmen tatsächlich die Anforderungen des PSPF erfüllen.”
BEZOGENE ABDECKUNG
ANAO stellt fest, dass zwei Regierungsabteilungen fälschlicherweise Cyber-Compliance selbst gemeldet haben
Der Bericht des Rechnungshofs zeigt die Generalstaatsanwaltschaft und die Abteilung für Der Premierminister und das Kabinett haben die vollständige Umsetzung einer oder mehrerer der Top-Vier-Minderungsstrategien nicht genau selbst gemeldet.
ACSC führt Essential Eight Cyber-Reife auf Null-Ebene ein und passt die Ebenen an das Handwerk an< /p>
Die Überarbeitung des Essential-Eight-Reifemodells sieht Ebenen an, die mit der Raffinesse des Cyber-Handels abgestimmt sind, um zu versuchen, dies zu verhindern.
Cybersicherheit liegt in der Verantwortung von Behörden, nicht uns, sagen AGD und ASD
Obwohl die Generalstaatsanwaltschaft und das Verteidigungsministerium für die Festlegung von Cybersicherheitsrichtlinien und die Überwachung ihrer Einhaltung in allen Bereichen verantwortlich sind, haben sie erklärt, dass es in der Verantwortung der Commonwealth-Einheiten selbst liegt und alle Fragen als solche gerichtet werden sollten.
Verwandte Themen:
Australien Security TV Data Management CXO Data Centers 