Australian National Audit Office (ANAO) har sagt at de vurderte fortsatt åpenhet gjennom rapportering til parlamentet der cybersikkerhetsrisiko er bekymret for å være en positiv, men det var fortsatt bekymret for at dette kanskje ikke var nok til å øke forbedringen.
I dokumentasjon [PDF] utarbeidet for Joint Committee of Public Accounts and Audit (JCPAA) sa ANAO at det var klart at revisjon og rapportering alene ikke har drevet forbedringer i samsvar med regjeringens cybersikkerhetspolitikk.
“Ikke-bedriftssamfunnsenheter har ikke blitt stilt til ansvar for at de ikke oppfyller de obligatoriske cybersikkerhetskravene i henhold til PSPF Policy 10,” skrev den, med henvisning til Policy 10 for Protective Security Policy Framework (PSPF), som er sentrert om å beskytte informasjon fra cybertrusler.
“Det nåværende rammeverket for å støtte ansvarlige ministre i å holde enheter ansvarlige i regjeringen er ikke tilstrekkelig til å føre til forbedringer i gjennomføringen av obligatoriske krav.”
JCPAA gjennomgikk i fjor et par rapporter fra ANAO og leverte en antall anbefalinger i sin egen rapport publisert i desember. En av anbefalingene ba ANAO om å gjennomføre en årlig gjennomgang av begrenset sikkerhet for cyberresiliens hos Commonwealth-enheter.
“Gjennomgangen bør undersøke og rapportere i hvilken grad enheter har innebygd en cyber-motstandskultur gjennom tilpasning til ANAOs rammeverk for 13 atferd og praksis,” spurte JCPAA. “Gjennomgangen bør også undersøke overholdelse av bedrifts- og ikke-bedriftsenheter med Essential Eight-avbøtningsstrategiene i informasjonssikkerhetshåndboken og gjennomføres i fem år fra juni 2022.”
ANAO sa at implementeringen av anbefalingen har medført en rekke praktiske utfordringer fra et revisjonsperspektiv, og den første vurderer det at det sannsynligvis er bekymringer om cybersikkerhetsrisiko som ASD reiser.
rapporten ville utgjøre cyberrisiko som den mener ville være uakseptabelt. Gitt ASD er teknisk ekspert, er det best mulig å vurdere disse risikoene og derfor vanskelig for ANAO å innta et annet syn, “heter det.
ANAO anser også omfanget som er foreslått i anbefalingen som utfordrende, gitt at bare Commonwealth-enheter som ikke er foretak har mandat til å anvende PSPF. Det sa at det for øyeblikket er 98 enheter som ikke er foretak som er underlagt policyen, har også skapt en omfangsutfordring.
“Fraværet av forsikring om materiale rapportert av enheter til AGD i deres egenvurderinger betyr at revisjonsprosedyrer vil måtte utføres på tvers av populasjonen av enheters selvvurderinger (helhets- eller risikobasert utvalg) for å sikre nøyaktighet, “la ANAO til.
Det sa også at begrensede forsikringsprosedyrer ikke resulterer i en rapport som informerer parlamentet om den faktiske gjennomføringen av cybersikkerhetskrav. tilsyn indikerer at ANAO sannsynligvis vil finne problemer med nøyaktigheten av selvvurderinger, »skrev den.
“I tilfelle det blir funnet nøyaktighetsproblemer, vil ANAO konkludere med at rapporten ikke kan stole på, men vil ikke rapportere om enheter faktisk oppfyller kravene i PSPF.”
RELATERT DEKNING
ANAO finner to myndighetsavdelinger unøyaktig selvrapportert cyberoverensstemmelse
Revisjonskontorets rapport viser generaladvokatens avdeling og avdeling for Statsministeren og kabinettet rapporterte ikke nøyaktig om full implementering av en eller flere Top Four-avbøtningsstrategier.
ACSC introduserer Essential Eight cyber-modenhet på null nivå og tilpasser nivåer til tradecraft
Overhaling of Essential Eight Maturity Model ser nivåer på linje med sofistikering av cybertradecraft for å forsøke å forhindre.
Cybersikkerhet ansvaret til byråer, ikke oss, AGD og ASD sier
Til tross for at de er ansvarlige for å sette cybersikkerhetspolitikk og overvåke dens overholdelse over hele linja, har Riksadvokatens avdeling og Forsvarsdepartementet sagt at det er ansvaret for Commonwealth-enhetene selv og eventuelle spørsmål bør rettes som sådan. >
Beslektede emner:
Australia Security TV Data Management CXO Data Centers 