Парламентский комитет призвал к тому, чтобы обзоры кибербезопасности стали более постоянным элементом ежегодной рабочей программы национального аудитора после ряда неудовлетворительных результатов аудита.
Этот вывод содержится в докладе комитета по счетам и аудиту [pdf] о киберустойчивости, в котором говорится, что существующие механизмы подотчетности в рамках рамок политики защитной безопасности (PSPF) были “ограничены”.
PSPF требует, чтобы агентства проводили самооценку в соответствии с 16 требованиями-одним из которых является четыре лучших и восемь основных элементов контроля – каждый год, используя «модель зрелости», и сообщали о результатах в Департамент Генерального прокурора (AGD).
В докладе, опубликованном в среду, рекомендуется, чтобы Австралийское национальное контрольное управление (ANAO) провело “ежегодный ограниченный обзор гарантий” киберустойчивости субъектов Содружества.
“Комитет считает, что требуется большая прозрачность в реализации культуры киберустойчивости в корпоративных и некорпоративных организациях Содружества”,-говорится в заявлении.
Обзор будет “изучать соответствие корпоративных и некорпоративных субъектов Основным восьми … и проводиться в течение пяти лет, начиная с июня 2022 года”.
Он мог бы сделать это, не усугубляя существующие риски кибербезопасности, предоставляя “не более детализированную публичную информацию, чем та, которая публикуется в существующих аудитах киберустойчивости ANAO”.
В ходе обзора следует также “изучить и сообщить о том, в какой степени организации внедрили культуру киберустойчивости путем приведения ее в соответствие с рамками 13 видов поведения и практики АНАО”.
Эта структура, которую АНАО считает “ключом к сильной киберустойчивой культуре”, в настоящее время используется в процессе аудита, хотя комитет хочет, чтобы она использовалась для улучшения “культуры киберустойчивости”.
Комитет заявил, что расходы на проведение обзора должны быть “покрыты ответственными политическими учреждениями или правительством”, избегая необходимости использования АНАО своего все более скудного финансирования для проведения обзоров.
Комитет также обратился к АГД с просьбой представить “обновленную информацию о внедрении им моделей внешней модерации/процесса бенчмаркинга” для проверки соблюдения требований организациями.
Улучшения в модели зрелости ПСПФ, которая в настоящее время опирается на самооценку, были отмечены в ходе расследования, чтобы обеспечить возможность сравнения агентств.
Несмотря на изменения в PSPF, недавняя отчетность показывает, что Четыре лучших комплаенса остаются относительно неизменными, причем 73 процента агентств сообщают либо о «специальных», либо о » развивающихся’ уровнях зрелости.
Комитет также хочет, чтобы AGD “предоставила обновленную информацию об уровне зрелости кибербезопасности в рамках субъектов Содружества и о возможности наделения полномочиями Основных восьми”.
Она заявила, что “считает целесообразным”, чтобы правительство пересмотрело вопрос о том, чтобы сделать Основные восемь стратегий обязательными для некорпоративных организаций.
Комментируя результаты расследования в парламенте в среду, теневой помощник министра кибербезопасности Тим Уоттс заявил, что выводы комитета были “тревожными”.
“Это обвинение в продолжающейся неспособности правительства обеспечить кибербезопасность своих собственных ведомств”, — сказал он.
“На самом деле, это настолько плохо, что комитет рекомендовал создать новый режим надзора, который обеспечит надлежащую защиту наших жизненно важных государственных служб и данных австралийских граждан, находящихся в ведении субъектов Содружества, во время резко возрастающих киберугроз.
Он сказал, что вмешательство последовало за годами “ошеломляюще высокого уровня несоблюдения правительством Содружества своей собственной системы кибербезопасности”.
“Основная часть проблемы здесь заключается в отсутствии какой-либо реальной формы ответственности для государственных структур, которые не делают того, что требуется для обеспечения киберустойчивости”, — сказал он.
— Каждая организация Содружества в настоящее время отвечает за свою собственную киберустойчивость, но никто не отмечает их домашнюю работу, чтобы убедиться, что они соответствуют требованиям.
“Каждый год некорпоративные субъекты Содружества обязаны проводить самооценку своего соответствия ПСПФ и Руководству по информационной безопасности в его рамках.
— Когда субъект Содружества не соблюдает обязательную Четверку Австралийского управления сигналов, все, что ему нужно сделать, это сказать своему министру и АГД, и ничего не происходит.”
