Правительству Нового Южного Уэльса было приказано срочно повысить свою устойчивость к кибербезопасности в течение третьего года подряд после того, как агентства вновь сообщили о низком уровне зрелости по сравнению с Основными восемью.
Этот вывод содержится в ежегодном аудите центральных органов государства, который рассматривал самооценки по сравнению с контролем, который теперь считается базовым для государства в области кибербезопасности.
В соответствии с правительственной политикой кибербезопасности, которая была введена в 2019 году после того, как аудит впервые забил тревогу по поводу кибербезопасности, агентства обязаны реализовать Основные восемь пунктов.
Основная восьмерка-это серия базовых стратегий смягчения последствий кибербезопасности и модель зрелости, рекомендованная федеральным правительством.
Новый Южный Уэльс имеет один из самых строгих режимов кибербезопасности на любом уровне правительства, выходящий далеко за рамки часто игнорируемых Четыре главных контрольных мандата на федеральном уровне.
Государственные учреждения Нового Южного Уэльса могут оценивать себя по четырем уровням зрелости: «нулевой уровень зрелости», «первый уровень зрелости», ‘второй уровень зрелости » и «третий уровень зрелости».
Три из этих уровней находятся в основных восьми, в то время как «нулевой уровень зрелости» — это правительственная конструкция Нового Южного Уэльса.
Результаты самооценки предоставляются руководителю агентства и общегосударственному управлению кибербезопасности (Cyber Security NSW).
Но почти через два года после введения требования о самооценке аудитор на прошлой неделе обнаружил “ограниченный прогресс” в реализации Основных восьми.
“Результаты самооценки государственного агентства Нового Южного Уэльса показывают, что устойчивость государственного сектора нового Южного Уэльса к кибербезопасности нуждается в срочном внимании”, — говорится в докладе.
В 103 представленных оценках подавляющее большинство учреждений сообщило либо о нулевом уровне зрелости, либо о первом уровне зрелости с Основными восемью – аналогично ревизии механизмов контроля в прошлом году.
Наибольшую озабоченность по-прежнему вызывают белый список приложений и укрепление пользовательских приложений, причем 70% и 45% соответствующих оценок попадают на нулевой уровень зрелости.
Нулевой уровень для белого списка приложений означает, что агентство “не полностью внедрило” решение для белого списка приложений на рабочих станциях и не выполняет белый список приложений на серверах.
Что касается ужесточения требований к пользовательским приложениям, то “требования к привилегированным учетным записям не проверяются последовательно” агентствами, а “нет ограничений на основе обязанностей для привилегированных учетных записей… применяется”.
Около 38% агентств также попали в нижнюю категорию для исправления приложений, в то время как исправление операционных систем (32%) также было низко оценено.
Ежедневное резервное копирование и ограничение прав администратора были наиболее эффективными средствами управления, за которыми следовали настройка макросов Microsoft office и многофакторная аутентификация.
Как и в 2019 году, генеральный аудитор рекомендовал “Cyber Security NSW работает с агентствами для повышения устойчивости к кибербезопасности в срочном порядке”.
Генеральный аудитор также планирует провести аудит в конце этого финансового года, чтобы проверить, соблюдают ли агентства политику кибербезопасности.
В настоящее время проводится еще один аудит кибербезопасности Service NSW – по просьбе министра обслуживания клиентов Виктора Доминелло – после того, как компрометация учетной записи электронной почты выявила 736 ГБ данных.
Парламент Нового Южного Уэльса аналогичным образом открыл расследование по кибербезопасности после предупреждения премьер-министра о кибербезопасности нации в июне.
Правительство планирует потратить 240 миллионов долларов в течение следующих трех финансовых лет на улучшение кибербезопасности в масштабах всего правительства и увеличение численности его кибер-рабочей силы.
Она уже пообещала увеличить штат сотрудников по кибербезопасности NSW примерно с 25 до 100 человек, чтобы помочь небольшим агентствам, а также советам в удовлетворении их потребностей в ИТ-безопасности.