Nul
En executive på den Australske Signaler Direktorat (ASD), der afviste at underskrive på Microsofts Azure og Office365 cloud-tjenester, der ydes Beskyttet Certification har siden forlod agenturet i henhold til InnovationAus.com.
Certificering, tildelt i April, giver Microsoft ‘ s “regering-konfigurerede” skyer til at blive brugt til Australske regering data, der er klassificeret op til BESKYTTEDE niveau. Men i modsætning til alle tidligere sådanne certificeringer, Microsoft certificeringer var midlertidig, og kom med det, ASD kaldet “forbruger-vejledninger”.
“Den Australske Cyber Security Center (ACSC) har bekræftet, opbevaring, kommunikation og behandling af offentlige data på BESKYTTET i angivne cloud-tjenester i Microsoft’ s Australsk-baserede offentlige sky. Yderligere kompenserende kontroller er at være gennemført på en risiko-styret grundlag af de enkelte myndigheder, inden agenturet akkreditering og den efterfølgende anvendelse af disse cloud services. Den ACSC samarbejder med Microsoft for at sikre den generelle kompenserende sikkerhed kontrol tegningerne er stillet til rådighed i de kommende uger,” guiderne sagde.
ASD executive, en 24-årig veteran i Forsvar, nægtede at underskrive på disse foreløbige certificeringer. Hun var efter sigende “er fjernet fra rollen” af ASD ‘ s nye generaldirektør Mike Burgess. Men i en LinkedIn-post, ledere sagde, at hun var “skuffet” af den følgeslutning, at Burgess var skylden for hendes fratræden.
“Mike har været noget, men støtter min karriere, og har forsynet mig med opmuntring og vejledning,” skrev hun.
Certificeringer efterfølgende blev underskrevet af den nye leder af ACSC, Alastair MacGibbon, der tidligere var statsministerens særlige rådgiver om internetsikkerhed.
I henhold til InnovationAus.com dette afspejler “indre spændinger” som ASD overgange til at være en uafhængig lovpligtige agentur, og de ændrede prioriteringer under Burgess. Det afspejler også en “radikal nytænkning” af regeringens tilgang til cybersecurity, med akkrediteringsprocessen “fanget mellem en løbende overholdelse af regeringens informationssikkerhed-Vejledning (ISM) … og den nye ledelse ønsker, at der hurtigt indføre en revideret vejledning, der er baseret på en risiko-styring/afhjælpning tilgang”.
Det er ikke første gang, at vi har set antydninger af den spaltning mellem, hvad man kunne kalde “ASD hemmelige egern traditionalister” og dem, der har en mere risiko-baseret tilgang.
I 2015, afgående leder af ASD ‘ s Cyber Security Gren, en rolle, som nu indehaves af MacGibbon, kaldes for en mere “frem-skæve” cybersecurity kropsholdning, citerer premierminister Malcolm Turnbull ‘ s brug af krypterede beskeder app Wickr som et eksempel.
“Du er nødt til at balancere for at reducere risici, og reduktion af effektivitet og komfort,” Joe Franzi sagde.
“Der plejede at være den gamle ASD model. Vi plejede at sige, “nej”, så mange gange, at vi er stækket organisationer faktisk gør for meget. Det kommer ikke til at skære det i verden i dag, og helt sikkert i morgen er verden.”
Franzi lavet disse kommentarer i løbet af den første nogensinde på-record interview i sit Forsvar karriere, idet denne forfatter klare indtryk, at hans budskab var rettet mere på ASD insidere end den brede offentlighed.
Mere for nylig, i oktober 2017, en ASD hændelse handler, der giver en teknisk præsentation på den nationale konference af den Australske Information Security Association (AISA) afsløret detaljer om tyveri af hemmelige forsvar data fra en lille ingeniør entreprenør. Noget af det, der er relateret til F-35 Joint Strike Fighter, P-8 Poseidon maritime patrol aircraft, C-130 transportfly, Joint Direct Attack Munition (JDAM) smart bombe kit, og andre vigtige projekter.
Nogle mennesker, herunder din forfatter, som troede, at denne præsentation var det netop det slags ting, ASD bør gøre, at kombinere konkrete fakta med handlingsrettede cybersecurity råd til en spændende præsentation. Desværre er historien kort vundet mainstream global opmærksomhed, med ministre i regeringen travlt med at distancere sig fra striden. Australien ‘ s assistent minister for cybersikkerhed var pludselig ikke tilgængelig “at gøre vælgerne business” og ikke tilgængelig for en kommentar.
ASD ‘ s næste præsentation på agenturets egen konference i April 2018 var, for at sige det meget mildt, tørt. Det gør ikke nyheder. Der vil være mange traditionalister, der ville have kunne lide det på den måde, men det betød, at alle potentielle cybersecurity erfaringer ikke gik videre, end de vægge af, at et lille mødelokale.
ASD er at gå gennem nogle radikale ændringer — radikale i den gode forstand. Det er nu et uafhængigt organ med Burgess på sit hoved. Den ACSC er nu en afdeling af ASD, med MacGibbon på sit hoved. Strukturen afspejler den BRITISKE Government Communications Headquarters (GCHQ) og National Cyber Security Center (NCSC). Begge strukturer giver en klar skelnen mellem nationerne’ offensive og defensive cyber-kapaciteter, og yde den cybersecurity divisioner med et klarere mandat. Men der er forskelle.
Den NCSC blev lanceret to år senere end ACSC, men har brølede videre, med en åben tekniske plan for at sikre den BRITISKE lanceret i 2016, og den regelmæssige indberetning af sine fremskridt med reelle data.
I mellemtiden, Australien ser ud til at have tilføjet forvirring til sin cybersecurity ledelse, der udgør en særskilt Kritisk Infrastruktur Center (CIC), som også beskæftiger sig med den fysiske sikkerhed, og flip-floppe på ansvar af ASD og den Digitale Transformation Agency (DTA) til offentlige myndigheder’ egen cybersecurity strategier.
Der er også nysgerrig efter ny ordning, hvor MacGibbon er både stedfortrædende generaldirektør for ASD på den operationelle side — som i sidste ende rapporter til minister for Forsvar-og en assisterende sekretær Institut for Indre Anliggender som National Cyber-Koordinator på den politiske side. At opdele rolle er bundet til at være hård, især med de to organisationer til at kæmpe for, hvem der helt præcist er, der er ansvarlig for hvad.
Både Burgess og MacGibbon er generelt respekteret i den sektor, med ry for at få tingene gjort. Men de står over for udfordringer med at omdanne den kultur af ASD samtidig med at udrede rodet højt niveau organisatoriske strukturer.
Plus den aktuelle udfordring, du kender, der kører landets cyber forsvar i løbet af et våbenkapløb.
Desværre for dem begge, kan de formentlig se frem til masser af problemer på t’ mølle.
Relaterede Dækning
ASD nægter at tage skridt baglæns i kølvandet på DTA cloud-strategi
Når du har mest af cyber talent i den offentlige service, hvorfor bør du udskyde til en organisation uden en cybersecurity team?
Som lækkede den idé af ASD spionage på Australierne, og hvorfor?
Mike Pezzullo tilsyneladende tanke boble på indenlandske digital overvågning har været brast, men det varsler anspændte tider forude for Australiens nye nationale sikkerhed ordninger.
Microsoft gevinster beskyttet niveau sky klassifikation fra ASD
Microsoft har modtaget akkreditering fra den Australske Signaler Direktoratet, giver det mulighed for at gemme højt klassificeret information fra det offentlige op til “beskyttede” niveau på sin Office 365-platform og konkrete Azure services.
ASD opfordrer regeringen administrerende direktører til deres cybersecurity spil
Den Australske Signaler Direktoratet ‘ s nyslåede direktør har afvist tanken om en cybersecurity mangel på kompetencer, der fremhæver snarere er der behov for at sikre, at de folk i toppen af ministerier er opmærksom på de trusler, de udsættes for.
Et brud på datasikkerheden kan blive dyrere end du tror, takket være disse skjulte omkostninger (TechRepublic)
Ifølge en IBM rapport, data, brud kan koste $3.86 mio. Her er de vigtigste faktorer.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre
0