Парламентское расследование будет тщательно изучать действия правительства Нового Южного Уэльса в связи с инцидентами кибербезопасности, а также его меры по защите цифровой инфраструктуры в целом после серии кибератак.
Премьер-министр и финансовый комитет верхней палаты нового Южного Уэльса тихо открыли расследование путем самоотвода в начале этого месяца, всего через несколько недель после того, как министр труда и общественных услуг Софи Котсис призвала к такому расследованию.
В ходе расследования будет изучаться “кибербезопасность и управление цифровой информацией в новом Южном Уэльсе”, включая количество кибер-инцидентов и утечек данных, с которыми столкнулись правительственные учреждения, а также финансовые затраты на эти инциденты.
Это следует за серией кибератак против правительства Нового Южного Уэльса, которые, как сообщается, побудили премьер-министра Скотта Моррисона предупредить нацию в июне о том, что “сложный государственный кибер-субъект” несет ответственность за всплеск вредоносной активности.
Однако то, сколько именно агентств пострадало, не очень хорошо известно, поскольку в настоящее время от них не требуется сообщать о нарушениях данных пострадавшим лицам, хотя это положение изменится после того, как правительство пообещало ввести обязательную систему уведомления.
Служба NSW, которая в апреле подверглась атаке на компрометацию электронной почты, затронувшей учетные записи 47 сотрудников и информацию неизвестного числа граждан, является одним из таких агентств, на которое в последние месяцы повлияла вредоносная кибератака.
“Политика и процедуры, лежащие в основе управления цифровой информацией”, включая мониторинг и реагирование на инциденты и нарушения данных, также будут рассматриваться как часть расследования, а также повседневное “управление системами” внутри учреждений.
Как показал аудитор NSW в прошлом году, агентства изо всех сил пытаются внедрить основные восемь элементов контроля Австралийского управления сигналов, которые стали обязательными в соответствии с политикой кибербезопасности правительства в прошлом году.
Более половины из 62 оценок агентства, представленных в управление кибербезопасности всего правительства, были признаны относящимися к нулевому уровню зрелости для трех основных восьми элементов контроля, что привело аудитора к предупреждению о том, что киберустойчивость нуждается в “срочном внимании”.
Еще одним аспектом управления кибербезопасностью правительства, подпадающим под круг ведения расследования, являются его “расходы на кибербезопасность, цифровые услуги и цифровую инфраструктуру”, которые выросли на 800 миллионов долларов до 3,8 миллиарда долларов в 2017-18 финансовом году.
Аналогичным образом будет исследован аппетит правительства к аутсорсингу, включая “масштабы и последствия аутсорсинга государственных информационных систем” и связанные с этим риски безопасности.
Другие полномочия расследования включают в себя:
