De Australian National Audit Office (ANAO) heeft gezegd dat het de voortdurende transparantie door rapportage aan het Parlement over cyberbeveiligingsrisico's als positief beschouwt, maar het bleef bezorgd dat dit misschien niet genoeg zou zijn om verbetering te bewerkstelligen.
In documentatie [PDF] opgesteld voor het Joint Committee of Public Accounts and Audit (JCPAA), zei ANAO dat het duidelijk was dat auditing en rapportage alleen niet hebben geleid tot verbetering in de naleving van het cyberbeveiligingsbeleid van de overheid.
“Niet-corporate Commonwealth-entiteiten zijn niet ter verantwoording geroepen voor het niet voldoen aan de verplichte cyberbeveiligingsvereisten onder PSPF-beleid 10”, schreef het, verwijzend naar het Protective Security Policy Framework (PSPF) Policy 10, dat is gericht op het beschermen van informatie tegen cyberdreigingen.
“Het huidige kader om verantwoordelijke ministers te ondersteunen bij het verantwoordelijk houden van entiteiten binnen de overheid, is niet voldoende om verbeteringen in de implementatie van verplichte vereisten te stimuleren.”
De JCPAA heeft vorig jaar een paar rapporten van ANAO beoordeeld en een aantal aanbevelingen in het in december gepubliceerde eigen rapport. Een van de aanbevelingen vroeg ANAO om te overwegen een jaarlijkse beperkte zekerheidsbeoordeling uit te voeren naar de cyberweerbaarheid van entiteiten uit het Gemenebest.
“De beoordeling moet onderzoeken en rapporteren over de mate waarin entiteiten een cyberweerbaarheidscultuur hebben ingebed door afstemming op het raamwerk van 13 gedragingen en praktijken van de ANAO”, vroeg JCPAA. “De beoordeling moet ook de naleving van de Essential Eight-mitigatiestrategieën in de Information Security Manual onderzoeken en voor vijf jaar worden uitgevoerd, te beginnen vanaf juni 2022.”
ANAO zei dat het implementeren van de aanbeveling een aantal praktische uitdagingen met zich meebracht vanuit een auditperspectief, met als eerste dat het van mening is dat er waarschijnlijk zorgen zijn over cyberbeveiligingsrisico's die door ASD worden geuit.
“ASD heeft geadviseerd dat een systeemniveau “Het rapport zou cyberrisico's met zich meebrengen die volgens haar onaanvaardbaar zouden zijn. Aangezien ASD de technische expert is, is het het best geplaatst om die risico's te beoordelen en daarom is het moeilijk voor de ANAO om een ander standpunt in te nemen,” zei het.
ANAO beschouwt de in de aanbeveling voorgestelde reikwijdte ook als uitdagend, aangezien alleen niet-zakelijke Commonwealth-entiteiten het mandaat hebben om de PSPF toe te passen. Het zei dat het feit dat er momenteel 98 niet-zakelijke entiteiten zijn die onder het beleid vallen, ook een uitdaging in de reikwijdte heeft gecreëerd.
“Het ontbreken van zekerheid over materiaal dat door entiteiten aan AGD is gerapporteerd in hun zelfbeoordelingen, betekent dat controlewerkzaamheden zouden moeten worden uitgevoerd voor de populatie van zelfbeoordelingen van entiteiten (gehele of op risico gebaseerde steekproef) om nauwkeurigheid te garanderen,” voegde ANAO toe.
Het zei ook dat procedures met een beperkte mate van zekerheid niet resulteren in een rapport dat het Parlement informeert over de daadwerkelijke implementatie van de cyberbeveiligingsvereiste.
“Huidige ANAO werkt op het gebied van cyberbeveiliging in zowel audits van jaarrekeningen (IT-controles) als in prestaties audits geven aan dat de ANAO waarschijnlijk problemen zal vinden met de nauwkeurigheid van zelfbeoordelingen”, schreef het.
“In het geval dat er nauwkeurigheidsproblemen worden gevonden, zou de ANAO concluderen dat er niet op het rapport kan worden vertrouwd, maar zou het niet rapporteren of entiteiten daadwerkelijk voldoen aan de vereisten van de PSPF.”
GERELATEERDE DEKKING
ANAO constateert dat twee overheidsdepartementen onnauwkeurig zelfgerapporteerde cybercompliance hebben
Het rapport van het Audit Office toont het departement van de procureur-generaal en het ministerie van de premier en het kabinet hebben zelf niet nauwkeurig gerapporteerd over de volledige implementatie van een of meer strategieën voor de beperking van de top vier.
ACSC introduceert Essential Eight zero-level cybervolwassenheid en stemt niveaus af op handelskunst< /p>
Bij de revisie van het Essential Eight Maturity Model zijn niveaus afgestemd op de verfijning van cyberhandel om te proberen deze te voorkomen.
Cyberbeveiliging is de verantwoordelijkheid van instanties, niet van ons, zeggen AGD en ASD
Ondanks dat ze verantwoordelijk zijn voor het bepalen van het cyberbeveiligingsbeleid en het toezicht houden op de naleving ervan over de hele linie, hebben de procureur-generaal en het ministerie van Defensie gezegd dat het de verantwoordelijkheid is van de Commonwealth-entiteiten zelf en dat alle vragen als zodanig moeten worden gesteld.
Verwante onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters 