Afbeelding : Rekenkamer van New South Wales
Het cyberbeveiligingsbeleid voor overheidsinstanties in New South Wales is niet robuust genoeg, wat volgens de staatsauditor-generaal Margaret Crawford een reden tot “aanzienlijke zorg” is.
“Belangrijke elementen om het bestuur, de controles en de cultuur van cyberbeveiliging te versterken zijn niet voldoende robuust en worden niet consequent toegepast. Er is onvoldoende vooruitgang geboekt om de cyberbeveiligingswaarborgen bij alle overheidsinstanties van NSW te verbeteren”, schreef de auditor-generaal in een nalevingsrapport [PDF] over de cyberbeveiligingsmogelijkheden van de staat.
De controle beoordeelde of negen van de leidende clusterbureaus van de staat – premier en kabinet, gemeenschappen en justitie, klantenservice, onderwijs, planning, regionale NSW, gezondheid, schatkist en transport – nauwkeurige rapportage hadden verstrekt over hun mate van volwassenheid bij de implementatie de eisen van het cyberbeveiligingsbeleid van de staat.
Van deze bureaus heeft geen van hen alle Essential Eight-controles op niveau één geïmplementeerd, waarbij de auditor-generaal zei dat alle organisaties op een baseline op niveau drie zouden moeten zijn.
Ze voegde eraan toe dat alle bureaus er niet in slaagden om zelfs maar niveau één volwassenheid te bereiken voor ten minste drie van de Essential Eight-strategieën.
Zeven van de negen deelnemende agentschappen rapporteerden ook niveaus van volwassenheid met betrekking tot cyberbeveiligingsbeleid en de essentiële acht die niet werden ondersteund door bewijs.
“Elk van de negen deelnemende bureaus voor deze audit had hun volwassenheidsniveau te hoog opgegeven ten opzichte van ten minste één van de 20 verplichte vereisten. Zeven bureaus waren niet in staat om bewijs te leveren om hun zelf-beoordeelde beoordelingen voor de Essential Eight-controles te ondersteunen,” schreef Crawford. in het rapport.
Crawford waarschuwde dat het overdrijven van de effectiviteit van de cyberbeveiligingscapaciteiten van een instantie het vermogen om cyberrisico's aan te pakken zou kunnen ondermijnen en hen uiteindelijk zou blootstellen aan cyberaanvallen.
Naast de negen agentschappen die nauwkeurig werden gecontroleerd, werden de gegevens van 95 andere overheidsinstanties ook beoordeeld door de auditor-generaal. In totaal beoordeelden slechts vijf van de 104 agentschappen die tijdens de controle werden beoordeeld, dat ze alle verplichte vereisten op niveau drie of hoger hadden geïmplementeerd. 14 agentschappen beoordeelden zelf dat ze elk van de Essential Eight-controles op niveau één volwassenheid of hoger hadden geïmplementeerd, terwijl de rest op niveau nul rapporteerde voor de implementatie van een of meer van de Essential Eight-controles.
Deze niveaus zijn vergelijkbaar met die gerapporteerd in 2019 en 2020, waarbij de auditor-generaal zei dat beter leiderschap en middelen nodig zouden zijn om de cyberbeveiligingscapaciteit van de agentschappen aanzienlijk te verbeteren.
Crawford zei dat de agentschappen niet de enigen waren die verantwoordelijk waren voor dit gebrek aan vooruitgang, maar bekritiseerden het cyberbeveiligingsbeleid zelf omdat het instanties toestaat te bepalen wat “verplichte vereisten” zijn bij het aanpakken van cyberbeveiligingsrisico's.
In tegenstelling tot cyberbeveiligingsbeleid van vergelijkbare jurisdicties, is er in NSW geen vereiste voor bureauhoofden om redenen aan te tonen voor het niet implementeren van protocollen uit het beleid. Het cybersecuritybeleid van NSW vereist evenmin dat deze overwegingen worden gedocumenteerd, noch een expliciete erkenning en acceptatie van het restrisico.
Er is momenteel ook geen vereiste voor NSW-bureaus om de “top vier” controles van de Essential Eight-strategieën te implementeren op een bepaald volwassenheidsniveau, namelijk het op de witte lijst zetten van applicaties, het patchen van applicaties, het patchen van besturingssystemen en het beperken van administratieve privileges.
De auditor-generaal uitte ook zijn bezorgdheid over het gebrek aan gesystematiseerd en formeel toezicht, door Cyber Security NSW of een andere instantie, op de geschiktheid of nauwkeurigheid van de cyberzelfbeoordelingsprocessen van instanties.
Eind vorig jaar ontdekte het auditkantoor van NSW dat Service NSW niet effectief omging met privé-informatie, als gevolg van het feit dat het bureau een phishing-aanval ondervond waarbij 47 e-mailaccounts van medewerkers werden gehackt. Alles bij elkaar zou de inbreuk 186.000 klanten hebben getroffen en tot 738 GB aan klantinformatie in 3,8 miljoen documenten hebben blootgelegd.
Gerelateerde dekking
NSW opent voor gevaccineerde wereld met limiet op niet-gevaccineerde aankomsten van 210 per weekNSW Ministerie van Onderwijs getroffen door cyberaanval
NSW-cyberstrategie vereist regeringsleider door voorbeeld
Vervoer voor NSW onderzoekt het gebruik van chauffeurloze rideshare-services
De kosten van IT-projecten bij de overheid van NSW zijn in vijf jaar met 90% gedaald
De overheid van NSW wil een halfgeleiderhub creëren gericht op ontwerp en IP
Australië | Beveiliging TV | Gegevensbeheer | CXO | Datacenters