Image : Revisionskontoret i New South Wales
Cybersikkerhedspolitikken for New South Wales regeringsagenturer er ikke tilstrækkelig robust, hvilket er en grund til “betydelig bekymring”, ifølge statens generalrevisor Margaret Crawford.
“Nøgleelementer til at styrke cybersikkerhedsstyring, -kontroller og -kultur er ikke tilstrækkelig robuste og ikke konsekvent anvendt. Der har ikke været tilstrækkelige fremskridt for at forbedre cybersikkerhedsgarantierne på tværs af NSW-statsorganer,” skrev generalrevisoren i en overholdelsesrapport [PDF] om statens cybersikkerhedskapaciteter.
Revisionen vurderede, om ni af statens førende klyngeagenturer – Premier og kabinet, Communities and Justice, Customer Service, Education, Planning, Regional NSW, Health, Treasury og Transport – havde leveret nøjagtig rapportering om deres modenhedsniveau i implementeringen kravene i statens cybersikkerhedspolitik.
Af disse agenturer har ingen af dem implementeret alle de essentielle otte kontroller på niveau et, hvor generalrevisoren siger, at alle organisationer på en basislinje skal være på niveau tre.
Hun tilføjede, at alle bureauer ikke formåede at nå niveau 1 modenhed for mindst tre af de Essential Eight-strategier.
Syv af de ni deltagende bureauer rapporterede også niveauer af modenhed vedrørende cybersikkerhedspolitik og de essentielle otte, som ikke blev understøttet af beviser.
“Hvert af de ni deltagende bureauer til denne revision havde overvurderet deres modenhedsniveau i forhold til mindst et af de 20 obligatoriske krav. Syv bureauer var ikke i stand til at fremlægge beviser til støtte for deres selvvurderede vurderinger for de essentielle otte kontroller,” skrev Crawford i rapporten.
Crawford advarede om, at overdrivelse af effektiviteten af et agenturs cybersikkerhedskapacitet kunne underminere evnen til at håndtere cyberrisici og i sidste ende udsætte dem for cyberangreb.
Uden for de ni agenturer, der blev undersøgt nøje, blev data fra 95 andre statslige organer også gennemgået af generalrevisoren. I alt af de 104 instanser, der blev gennemgået i revisionen, vurderede kun fem selv, at de havde implementeret alle de obligatoriske krav på niveau tre eller derover. 14 agenturer vurderede selv, at de havde implementeret hver af de Essential Eight-kontroller på niveau 1-modenhed eller højere, mens resten rapporterede på niveau nul for implementering af en eller flere af de Essential Eight-kontroller.
Disse niveauer svarer til dem, der blev rapporteret i 2019 og 2020, hvor generalrevisoren sagde, at bedre ledelse og ressourcer ville være påkrævet, hvis der skal ske en væsentlig forbedring af bureauernes cybersikkerhedskapacitet.
Crawford sagde, at agenturerne ikke var de eneste, der havde skylden for denne mangel på fremskridt, men kritiserede selve cybersikkerhedspolitikken for at tillade agenturer at bestemme, hvad der er “obligatoriske krav”, når de adresserer cybersikkerhedsrisici.
I modsætning til cybersikkerhedspolitikker fra sammenlignelige jurisdiktioner, mangler den i NSW et krav om, at bureauchefer skal demonstrere grunde til ikke at implementere protokoller fra politikken. NSW-cybersikkerhedspolitikken kræver heller ikke, at disse overvejelser skal dokumenteres, og den kræver heller ikke en eksplicit anerkendelse og accept af den resterende risiko.
Der er i øjeblikket heller ikke noget krav om, at NSW-bureauer skal implementere “top fire” kontrollerne af Essential Eight-strategierne til et bestemt modenhedsniveau, som er hvidlisting af applikationer, patching af applikationer, patching af operativsystemer og begrænsning administrative rettigheder.
Generalrevisoren udtrykte også bekymring for manglen på systematiseret og formel overvågning af enten Cyber Security NSW eller et andet bureau af tilstrækkeligheden eller nøjagtigheden af bureauers cyber-selvvurderingsprocesser.
I slutningen af sidste år fandt NSW-revisionskontoret ud af, at Service NSW ikke effektivt håndterede private oplysninger, som et resultat af, at bureauet oplevede et phishing-angreb, hvor 47 medarbejderes e-mailkonti blev kompromitteret. Alt i alt skulle bruddet have påvirket 186.000 kunder og afsløret op til 738 GB kundeoplysninger indeholdt i 3,8 millioner dokumenter.
Relateret dækning
NSW åbner for vaccineret verden med loft for uvaccinerede ankomster til 210 om ugenNSW Department of Education ramt af cyberangreb
NSW cyberstrategi kræver, at regeringen går foran med et godt eksempel
Transport for NSW skal undersøge brugen af førerløse rideshare-tjenester
NSW-regeringens IT-projektomkostninger er overskredet med 90 % på fem år
NSW-regeringen ønsker at skabe halvlederhub med fokus på design og IP
Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre