Nul
(Foto: U.S. Air Force)
Een onbekende kwaadaardige acteur stal 30 gigabyte aan gegevens van een defensie-aannemer. Dat is een enorme security oopsie. Maar het is ook een enorme fout van het bestuur, waarvan de regering is graag onder het vloerkleed vegen.
Op woensdag middag, ZDNet brak het verhaal dat de gestolen gegevens opgenomen informatie op defensie-projecten, waaronder de F-35 Joint Strike Fighter, de P-8 Poseidon maritieme patrouille vliegtuigen, de C-130 transport vliegtuigen, de Joint Direct Attack Munition (JDAM) slimme bom kit, en “een paar Australische marineschepen”, als een officier van de Australische Signals Directorate (ASS). Het verhaal werd al snel opgepikt door de mainstream media.
Op donderdag ochtend, de overheid spin dokteren begon.
“Deze aanval op de verdediging aannemer hier in Adelaide is echt een heilzame waarschuwing voor iedereen die als de regering zegt dat bedrijven nodig hebben om hun cybersecurity zeer serieus, we zijn niet een grapje,” de defensie-industrie, minister Christopher Pyne vertelde ABC Radio.
“Het is een zeer, zeer belangrijk deel van de verdediging van deze grote projecten, en alle Australische bedrijven, kleine en middelgrote ondernemingen, en de priemgetallen moeten krijgen hun cybersecurity bescherming op het hoogste niveau, op het bovenste lade bescherming, omdat deze soorten aanvallen optreden,” Pyne zei.
Dat is allemaal waar.
Door “priemgetallen”, Pyne betekent dat de top-tier defensie aannemers, Lockheed Martin en Boeing en Raytheon en BAE Systems en Thales en alle andere grote spelers. Blijkbaar een prime — we weten niet welke — was de “partner organisatie” die waarschuwde de ASS naar de strijd, niet een inlichtingendienst.
De gegevens die exfiltrated door deze onbekende kwaadaardige acteur, die de ASS genaamd “APT ALF”, “commerciële gegevens niet militaire gegevens … niet geclassificeerd informatie,” aldus Pyne.
“Ik denk niet dat je kunt proberen en blad van schuld voor een kleine onderneming is het hebben van lax cybersecurity terug naar de federale overheid. Dat is een stuk,” zei hij.
Pyne was de boodschap die de australische regering heeft “gezegd meedogenloos” die organisaties moeten nemen cybersecurity “zeer ernstig”. “We werken heel hard met bedrijven”, zei hij, met inbegrip van de “4000 defensie-industrie bedrijven in Australië”.
Laten we eens uitpakken dat een beetje.
Volgens de ASD officer, sommige van de exfiltrated gegevens is beperkt op grond van de International Traffic in Arms Regulations (ITAR), het AMERIKAANSE systeem dat is ontworpen voor controle op de uitvoer van defensie en militaire technologieën. Want dat is ONS ding, certificering te hanteren ITAR gegevens wordt gedaan volgens het US-normen. Deze gegevens kunnen ook worden de meer commerciële-in-het vertrouwen in de natuur, een prime “11 geheime kruiden”, als je wilt.
Maar als deze informatie stroomt van de ONS, door middel van een prime, een onderaannemer van een inkeping of twee naar beneden, zou het zelfs gezien worden door de Australische overheid, laat staan uitgevoerd door middel van een formele classificatie proces?
Ik heb geen reden om te geloven dat Pyne vertelt porkies. In de context van dit zeer zichtbaar discussie, hij zou wel gek zijn om straight-out liggen. Maar hij is zeker het proberen te ontleden om de subtiele, vage grenzen tussen geheime, gevoelige, beperkt, en vertrouwelijk. Handig.
Het andere probleem voor mij is Pyne proberen om de afstand van de regering van elke verantwoordelijkheid voor deze zekerheid vervallen.
Ja, de ASS cyber defence team is belast met de bescherming van de overheid en militaire agentschappen, kritieke infrastructuur, en, meer algemeen, de nationale veiligheid. Derde – en vierde-tier aannemers zijn niet het probleem. De ASD kwam net bij het opruimen van de rotzooi.
Technisch is het niet de overheid de schuld. Maar als de overheid niet voor te zorgen dat de hele verdediging supply chain is goed beveiligd is, wie is het? Niemand, zo lijkt het. Dat klinkt voor mij als een governance toezicht.
Zal de Australische overheid nu verbeteren van het toezicht op de defensie opdrachtnemer zekerheid? Of zal het alleen maar draaien het probleem onder het tapijt met de gebruikelijke algemene opmerkingen over het werken erg hard?
Laatste Australische nieuws
Australië kondigt 5G strategie
Het beschuldigen van de overheid voor de verdediging van opdrachtnemer lax cybersecurity ‘een stuk’: Pyne
Optus Satelliet kondigt NBN Hemel Opbrengen service
Facial toezicht niet een zorg voor 2 in 3 Australiërs: Morgan poll
Het geheim van de F-35, P-8, C-130 gegevens gestolen in de Australische defensie aannemer hack
0