Image : Revisionskontoret i New South Wales
Cybersäkerhetspolicyn för statliga myndigheter i New South Wales är inte tillräckligt robust vilket är en anledning till “betydande oro”, enligt statens riksrevisor Margaret Crawford.
“Nyckelelement för att stärka cybersäkerhetsstyrning, kontroller och kultur är inte tillräckligt robusta och tillämpas inte konsekvent. Det har gjorts otillräckliga framsteg för att förbättra cybersäkerhetsgarantierna över NSW-myndigheter”, skrev riksrevisorn i en efterlevnadsrapport [PDF] om statens cybersäkerhetskapacitet.
Granskningen bedömde om nio av statens ledande klusterbyråer – premiärminister och kabinett, gemenskaper och rättvisa, kundtjänst, utbildning, planering, regionala NSW, hälsa, finansförvaltning och transport – hade tillhandahållit korrekt rapportering om deras mognadsnivå vid genomförandet kraven i statens cybersäkerhetspolicy.
Av dessa byråer har ingen av dem implementerat alla Essential Eight-kontrollerna på nivå ett, och riksrevisorn säger att alla organisationer vid en baslinje bör vara på nivå tre.
Hon tillade att alla byråer misslyckades med att nå ens nivå ett mognad för minst tre av Essential Eight-strategierna.
Sju av de nio deltagande byråerna rapporterade också mognadsnivåer angående cybersäkerhetspolicy och Essential Eight som inte stöddes av bevis.
“Var och en av de nio deltagande byråerna för denna granskning hade överskattat sin mognadsnivå mot minst ett av de 20 obligatoriska kraven. Sju byråer kunde inte tillhandahålla bevis för att stödja sina självutvärderade betyg för kontrollerna Essential Eight”, skrev Crawford i rapporten.
Crawford varnade för att en överskattning av effektiviteten hos en byrås cybersäkerhetskapacitet kan undergräva förmågan att hantera cyberrisker och i slutändan utsätta dem för cyberattacker.
Utanför de nio myndigheter som fick noggrann granskning granskades uppgifterna från 95 andra statliga myndigheter också av riksrevisorn. Totalt av de 104 myndigheter som granskades i granskningen var det bara fem som själv bedömde att de hade implementerat alla obligatoriska krav på nivå tre eller högre. 14 byråer självbedömde att de hade implementerat var och en av Essential Eight-kontrollerna på nivå ett-mognad eller högre, medan resten rapporterade på nivå noll för implementering av en eller flera av Essential Eight-kontrollerna.
Dessa nivåer liknar de som rapporterades 2019 och 2020, där riksrevisorn sa att bättre ledarskap och resurser skulle krävas om det ska bli betydande förbättringar av byråernas cybersäkerhetskapacitet.
Crawford sa att byråerna inte var de enda att skylla på denna brist på framsteg, men kritiserade själva cybersäkerhetspolicyn för att tillåta byråer att avgöra vad som är “obligatoriska krav” när de hanterar cybersäkerhetsrisker.
Till skillnad från cybersäkerhetspolicyer från jämförbara jurisdiktioner, saknar den i NSW ett krav på byråchefer att visa skäl för att inte implementera protokoll från policyn. NSW:s cybersäkerhetspolicy kräver inte heller att dessa överväganden ska dokumenteras, och den kräver inte heller ett uttryckligt erkännande och acceptans av den kvarvarande risken.
Det finns för närvarande inte heller något krav på NSW-byråer att implementera “topp fyra”-kontrollerna i Essential Eight-strategierna till någon angiven mognadsnivå, som är vitlistning av applikationer, lappar applikationer, korrigerar operativsystem och begränsningar administrativa rättigheter.
Riksrevisorn uttryckte också oro över bristen på systematiserad och formell övervakning, av antingen Cyber Security NSW eller en annan myndighet, av tillräckligheten eller riktigheten i byråernas cybersjälvbedömningsprocesser.
I slutet av förra året fann NSW revisionsbyrån att Service NSW inte effektivt hanterade privat information, som ett resultat av att byrån upplevde en nätfiskeattack där 47 anställdas e-postkonton äventyrades. Sammantaget sades intrånget ha påverkat 186 000 kunder och avslöjat upp till 738 GB kundinformation som finns i 3,8 miljoner dokument.
Relaterad täckning
NSW öppnar för vaccinerad värld med ett tak för ovaccinerade ankomster till 210 per veckaNSW Department of Education drabbats av cyberattack
NSW cyberstrategi kräver att regeringen ska leda med gott exempel
Transport för NSW undersöker användningen av förarlösa samåkningstjänster
NSW-regeringens IT-projekt har överskridits med 90 % på fem år
NSW-regeringen vill skapa ett halvledarnav med fokus på design och IP
Australien | Säkerhets-TV | Datahantering | CXO | Datacenter