Den Australiska Signaler Direktoratet (ASD), genom sitt Australiska Cyber Security Centre (ACSC), rekommenderar att alla organisationer för att genomföra sitt Grundläggande Åtta kontroller för att minska it-attacker. Ledtråden finns i namnet.
Men för den Australiska regeringen som helhet, inte så mycket.
Helhet-av-regeringens svar på en sedan länge pågående parlamentariska utredningen, som släpptes i början av månaden, bara “anteckningar” utredningens rekommendation att ge Grundläggande Åtta kontroller för alla myndigheter, men avstår från att gå längre än “starkt rekommendera” bara fyra av dem.
“De Väsentliga Åtta representerar ASD: s bästa råd om de åtgärder som en myndighet kan vidta för att minska hotet från en it-incidenter och hantera sina risker. Men regeringen kommer att överväga att anlita de Grundläggande Åtta när it-säkerhet löptid har ökat över enheter,” svar sade.
“It-mognad och genomförandet av de Grundläggande Åtta strategier inom enheter är för närvarande både en compliance och risk management fråga för varje ansvarig myndighet, på grund av den unika risken miljöer och verksamheter i varje enhet.”
Beslutet att inte ge den högt ansedda it-kontroller är i strid med de svar positionering uttalanden.
“Skydda Australien från cyber hot som är en av våra största nationella säkerhetspolitiska utmaningar,” svar sade.
“Regeringen har förbundit sig att se till att alla Commonwealth enheter höja sin nivå av it-säkerhet och förstå de risker de står inför.”
Det är också i strid med placering av kontroller inom regeringen cybersäkerhet ram.
Hur Viktiga Åtta blivit viktigt, och då inte
De Grundläggande Åtta publicerades i februari 2017, och är en förlängning av ASD: s prisbelönta Topp Fyra strategier för 2011. Både prioriterade listor för cybersäkerhet kontroller har utvecklats efter ASD: s analys av verkliga data.
“ACSC rekommenderar att alla organisationer för att genomföra de Nödvändiga Åtta som en baslinje, och ytterligare riskreducerande strategier från 37 Strategier utöver det, som baseras på riskexponering och cybersäkerhet hot av störst intresse för sin verksamhet,” byrån skrev 2017.
Av December 2018, de Väsentliga Åtta hade blivit en central del av regeringens nya Information Security Manual (ISM), och i februari 2019 ACSC Viktigt Åtta Maturity Model uppdrag fullständigt genomförande av kontroller för totalt enlighet med ISM.
Under tiden, en Gemensam Kommitté för Offentlig Redovisning och Revision (JCPAA) undersökning hade satts upp i början av 2017 för att titta in i en besvikelse för cybersäkerhet revision av Australian National Audit Office (ANAO).
Av tre kritiska myndigheter granskade, bara Department of Human Services (DHS) var förenliga med Topp Fyra strategier, som på uppdrag av riksåklagarens Avdelning Skyddande Säkerhet Policy Framework (PSPF).
DHS var den enda byrån som på ett korrekt sätt hade själv bedömas mot Topp Fyra. Det var också den enda som var “it motståndskraftig”, eller för att kunna “fortsätta tillhandahålla tjänster samtidigt som det hindrar och som svarar mot it-angrepp”.
Department of Immigration and Border Protection (DIBP), nu en del av Institutionen för Inrikes Frågor (DHA) och Australian Taxation Office (ATO), ansågs vara “internt motståndskraftig”, men inte uppfyller generellt.
I oktober 2017, JCPAA släppt sin rapport, It-säkerhet Efterlevs Undersökning baserad på Revisor-rapport 42 (2016-17).
Kommittén nådde inte orimliga slutsatsen att det väsentliga innebär väsentliga.
Sex av kommitténs åtta rekommendationer var överens om att denna månad regeringens svar. Alla var okontroversiella frågor som har att göra med rapportering. En rekommendation var som avses ANAO eftersom det är en oberoende byrå.
Så varför var rekommendationen att ge Grundläggande Åtta gick över?
Ja, cybersäkerhet löptid behov av att “ökat över enheter”, men säkert är att sätta upp mål är bra, strategisk ledning, även om myndigheter får lätt tidsplaner för att uppnå dem?
De Grundläggande Åtta Maturity Model även ger myndigheter en tre-stegs process att följa.
En detaljerad analys på den offentliga sektorn webbplats Mandarin ger några ledtrådar.
“Några medlemmar av kommittén anser med starkare obligatoriska krav nu-eller åtminstone mer angelägna om att möta de befintliga — kan uppmuntra till it-mognad för att förbättra snabbare,” Mandarin rapporterade.
Men som JCPAA medlem Gai Brodtmann noteras under en senare förhandling, “självklart, obligatoriskt är inte tillräckligt tydlig för våra myndigheter”.
“Det är uppenbart att regeringen måste formulera att vi behöver 100 procent överensstämmelse, och att, som en del av processen, det är obligatoriskt, det är inte ett tillval som människor har varit sparkar på vägen för de senaste fem åren,” sade hon.
Myndigheter rapporterat att de inte har resurser eller kompetens, klagar över “sträckte budgetar” och ett “lapptäcke ” approach” till regeringen cybersäkerhet.
DHA har tidigare skyllde utmaningar “att befästa arvet IKT-miljöer”.
Att läsa denna analys, din författaren kunde inte låta bli att tänka på det är inte precis en “kan själv” -attityd. Det är mer en inte kan göra. Och det är inte bra nog.
Som alla parlamentariska kommittéer, JCPAA har upplösts före den kommande federala valet den 18 Maj, och utredningen har upphört att gälla.
Men, sin stol har sagt i ett uttalande [PDF] att kommittén räknar med att fortsätta sin utredning av beredskapen och att hålla ytterligare offentliga utfrågningar under de närmaste månaderna”.
Relaterade Täckning
86% av Australiens bästa webbplatser kan inte upptäcka bot-attacker: Forskning
Automatiserad referens fyllning attacker ge skurkarna en bra avkastning på investeringen, enligt säkerhetsföretaget Kasada, men de flesta organisationer inte kan upptäcka dem.
Australiska Budget 2019: Whole-of-government it-höjning för att skapa en “cyber sprint lag”
Australien är cybersäkerhet översyn kommer att innehålla uppdateringar till statliga system för 2019 federala val, liksom att skapa cyber sprint lag ” under ACSC och en Cyber Security Response Fund.
Kaspersky VD: Öppna din källkod för att vinna regeringar förtroende
Regeringar hyser oro för säkerheten om system tillverkade av utländska företag bör ställa dessa leverantörer för att öppna upp sina källkoder för inspektion, precis som teknik aktörer som Huawei och Kaspersky har gjort för deras kunder, säger Eugene Kaspersky.
Windows 10 säkerhet: En guide för företagsledare
Skyddar Windows-10 St från gemensamma säkerhets-problem som kräver fortsatt vaksamhet och ansträngning. Denna bok förklarar vilka åtgärder att vidta och vilka risker som du bör se upp för.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter