De Australische regering heeft haar intentie uitgesproken om de Essential Eight-mitigatiestrategieën verplicht te stellen, ondanks het feit dat veel entiteiten hun hoofd niet volledig rond de Top Vier hebben gewikkeld.
Sinds 2013 zijn niet-corporate Commonwealth-entiteiten (NCCE's) verplicht om een jaarlijkse zelfevaluatie uit te voeren op basis van de Top Vier-strategieën, die worden opgelegd door het Protective Security Policy Framework van de Attorney-General's Department (AGD) (PSPF). Entiteiten rapporteren hun algehele naleving van de verplichte vereisten aan AGD.
Het Joint Committee of Public Accounts and Audit (JCPAA) heeft vorig jaar een paar rapporten van de Australian National Audit Office (ANAO) beoordeeld. Een rapport over dit onderzoek van de JCPAA in december vroeg AGD of het haalbaar was om de Essentiële Acht te verplichten, een oproep die de commissie in oktober 2017 deed, en rapporteerde terug over waarom entiteiten de Top Vier die in april verplicht was nog moeten implementeren 2013.
Zie ook: ASD Essential Eight cyberbeveiligingscontroles niet essentieel: Canberra
In haar antwoord [PDF] aan de JCPAA zei AGD dat het zich blijft inzetten voor het handhaven van robuuste beschermende beveiligingsnormen om ervoor te zorgen dat de PSPF entiteiten ondersteunt bij het beheren van hun risico's.
“De afdeling heeft zorgvuldig overwogen … en heeft gedetailleerde informatie besprekingen met het [Australian Cyber Security Centre] over de cyberbeveiligingsinstellingen in de PSPF,” schreef AGD.
“Op basis hiervan zal de afdeling een wijziging van de PSPF aanbevelen om de Essential Eight te verplichten.
” p>
“Dit weerspiegelt het advies van de ACSC dat entiteiten volwassen moeten worden in alle acht strategieën … in plaats van hun inspanningen te concentreren op een kleinere subset zoals de Top Vier, omdat dit een hoger niveau van bescherming biedt.”
AGD zei zo'n aanpak is onderschreven door het Government Security Committee, een interdepartementale commissie die strategisch toezicht houdt op het beschermende veiligheidsbeleid.
Hoewel AGD graag de Essential Eight essentieel wil maken, zei dat dit een impact zou hebben op de entiteiten die nodig zijn om ze te implementeren.
“Als gevolg hiervan is de afdeling overleg begonnen met de 98 NCCE's over de implicaties van dit voorstel”, voegde het eraan toe. “De afdeling verwacht tegen eind juni 2021 reacties van de NCCE's.”
Het stelt ook conceptwijzigingen voor de PSPF op en zei dat het momenteel tijdschema's voor implementatie overweegt.
Een andere van de aanbevelingen van de JCPAA was dat AGD de commissie bijwerkt over haar benchmarkingproces voor de gerapporteerde naleving van cyberbeveiligingsvereisten door Commonwealth-entiteiten.
Zie ook: Labour wil de slechte cyberhouding van de Commonwealth-entiteit benoemen en beschamen
ANAO publiceerde in maart bevindingen van een onderzoek naar de effectiviteit van strategieën voor cyberbeveiligingsrisicobeperking die zijn geïmplementeerd door zeven overheidsinstanties, en verklaarde dat geen enkele volledig is geïmplementeerd alle verplichte benchmarks en dat de zelfrapportage zwak was.
AGD vertelde de JCPAA dat het “opties onderzoekt, waaronder moderatie, om entiteiten verder te ondersteunen bij het verbeteren van de nauwkeurigheid van hun zelfbeoordelingen”.
“Bovendien herziet de afdeling ook het bestaande volwassenheidsmodel om ervoor te zorgen dat het geschikt is voor het beoogde doel,” zei het.
HIER IS MEER
ANAO constateert dat twee overheidsdepartementen onnauwkeurig zelfgerapporteerde cybercompliance hebben Cybersecurity de verantwoordelijkheid van agentschappen, niet van ons, AGD en ASD zeggen dat het Comité een obstakel raakt bij het onderzoeken van de cyberbeveiligingsprestaties van het Gemenebest De teleurstelling van de nieuwe cyberbeveiligingsstrategie van Australië Cyber moet deel uitmaken van de nationale weerbaarheid van alle gevaren: hoofd Binnenlandse Zaken
Verwante onderwerpen:
Australia Security TV Gegevensbeheer CXO-datacenters 