Image : Revisjonskontoret i New South Wales
Nettsikkerhetspolitikken for offentlige etater i New South Wales er ikke tilstrekkelig robust, noe som er en grunn til “betydelig bekymring”, ifølge statens riksrevisor Margaret Crawford.
“Nøkkelelementer for å styrke cybersikkerhetsstyring, kontroller og kultur er ikke tilstrekkelig robuste og ikke konsekvent brukt. Det har ikke vært tilstrekkelig fremgang for å forbedre sikkerhetstiltakene for cybersikkerhet på tvers av NSW-myndighetsorganer,” skrev riksrevisor i en samsvarsrapport [PDF] om statens cybersikkerhetsevner.
Tilsynet vurderte om ni av statens ledende klyngebyråer – Premier og kabinett, Communities and Justice, Customer Service, Education, Planning, Regional NSW, Helse, Treasury og Transport – hadde gitt nøyaktig rapportering om deres modenhetsnivå i implementeringen. kravene i statens nettsikkerhetspolitikk.
Av disse byråene har ingen av dem implementert alle de essensielle åtte-kontrollene på nivå én, og riksrevisor sier at alle organisasjoner ved en grunnlinje bør være på nivå tre.
Hun la til at alle byråer ikke klarte å nå nivå én modenhet for minst tre av Essential Eight-strategiene.
Syv av de ni deltakende byråene rapporterte også modenhetsnivåer angående nettsikkerhetspolitikk og Essential Eight som ikke ble støttet av bevis.
“Hvert av de ni deltakende byråene for denne revisjonen hadde overvurdert sitt modenhetsnivå mot minst ett av de 20 obligatoriske kravene. Syv byråer var ikke i stand til å fremlegge bevis for å støtte sine selvvurderte rangeringer for Essential Eight-kontrollene,” skrev Crawford i rapporten.
Crawford advarte om at overdrivelse av effektiviteten til et byrås cybersikkerhetsevner kan undergrave evnen til å håndtere cyberrisikoer og til slutt utsette dem for cyberangrep.
Utenom de ni etatene som ble gransket nøye, ble dataene til 95 andre statlige etater også gjennomgått av riksrevisor. Totalt var det bare fem av de 104 etatene som ble gjennomgått i tilsynet, som selv vurderte at de hadde implementert alle de obligatoriske kravene på nivå tre eller høyere. 14 byråer selvvurderte at de hadde implementert hver av Essential Eight-kontrollene på nivå én-modenhet eller høyere, mens resten rapporterte på nivå null for implementering av én eller flere av Essential Eight-kontrollene.
Disse nivåene er lik de som ble rapportert i 2019 og 2020, og riksrevisor sa at bedre ledelse og ressurser vil være nødvendig hvis det skal være betydelig forbedring i byråets cybersikkerhetsevne.
Crawford sa at byråene ikke var de eneste som hadde skylden for denne mangelen på fremgang, men kritiserte selve cybersikkerhetspolitikken for å tillate byråer å bestemme hva som er “obligatoriske krav” når de adresserer cybersikkerhetsrisikoer.
I motsetning til nettsikkerhetspolicyer fra sammenlignbare jurisdiksjoner, mangler den i NSW et krav til byråledere om å demonstrere grunner for ikke å implementere protokoller fra policyen. NSWs nettsikkerhetspolicy krever heller ikke at disse hensynene skal dokumenteres, og den krever heller ikke en eksplisitt anerkjennelse og aksept av den gjenværende risikoen.
Det er foreløpig heller ingen krav til NSW-byråer om å implementere “topp fire”-kontrollene til Essential Eight-strategiene til et bestemt modenhetsnivå, som er hvitlisting av applikasjoner, oppdatering av applikasjoner, oppdatering av operativsystemer og restriksjoner administrative rettigheter.
Riksrevisor uttrykte også bekymring for mangelen på systematisert og formell overvåking, fra enten Cyber Security NSW eller et annet byrå, av tilstrekkeligheten eller nøyaktigheten til byråers cyber-selvvurderingsprosesser.
Sent i fjor fant NSW revisjonskontoret at Service NSW ikke effektivt håndterte privat informasjon, som et resultat av at byrået opplevde et phishing-angrep der 47 ansattes e-postkontoer ble kompromittert. Alt sammen ble bruddet sagt å ha påvirket 186 000 kunder og avslørt opptil 738 GB med kundeinformasjon inneholdt i 3,8 millioner dokumenter.
Relatert dekning
NSW åpner for vaksinert verden med tak på uvaksinerte ankomster på 210 per ukeNSW Department of Education rammet av cyberangrep
NSW cyberstrategi krever at regjeringen går foran med et godt eksempel
Transport for NSW undersøker bruken av førerløse samkjøringstjenester
NSW-regjeringens IT-prosjektkostnad overskrides med 90 % på fem år
NSW-regjeringen ønsker å opprette halvlederhub med fokus på design og IP
Australia | Sikkerhets-TV | Databehandling | CXO | Datasentre