Министерство генерального прокурора отметило, что после ряда тревожных проверок киберустойчивости федеральные правительственные учреждения могут начать применять более строгие механизмы подотчетности в области кибербезопасности.
Но правительство по-прежнему молчит о том, будет ли усилен контроль за кибербезопасностью, как это, как сообщается, рассматривается для частного сектора в рамках следующей стратегии кибербезопасности страны.
Это происходит, несмотря на годы неудовлетворительного соблюдения обязательных четырех главных стратегий смягчения киберугроз Австралийского управления сигналов во всех государственных структурах, о чем неоднократно сообщало Австралийское национальное контрольное управление.
Первые четыре являются частью государственной политики защитной безопасности (PSPF), которая требует, чтобы агентства ежегодно проводили самооценку по 16 основным требованиям с использованием » модели зрелости’ и сообщали о результатах АГД.
Модель зрелости была введена в октябре 2018 года после обзора, который показал, что прежняя «модель комплаенса» способствовала культуре комплаенса «галочки в коробке».
Но ранние результаты этой отчетности указывают на то, что соблюдение требований остается относительно неизменным: 73 процента агентств сообщают либо о «специальном» (13 процентов), либо о «развивающемся» (60 процентов) уровне зрелости в 2018-19 годах.
Выступая в четверг на парламентском расследовании киберустойчивости, заместитель секретаря AGD по вопросам целостности и международной группы Сара Чиджи заявила, что в настоящее время департамент рассматривает возможность дальнейшего совершенствования структуры для обеспечения соблюдения требований.
“Мы уже отметили как часть правительственного комитета по безопасности … что мы хотим работать над механизмами, которые добавят к этому варианту модерации самооценки возможность проверки рейтинга агентств и поддержки их в рамках этого процесса оценки”,-сказала она.
“Так что это то, что мы имеем в нашей рабочей программе на данный момент. Мы осознаем, что у нас только что закончился первый год отчетности по зрелости, и теперь рассматриваем, как мы можем улучшить это, основываясь на результатах, полученных в этом году.”
Когда депутат от Либеральной партии и председатель комитета Люси Уикс спросила, рассматривались ли в ходе этих дискуссий сравнительные оценки агентств с другими аналогичными агентствами для сравнения киберустойчивости, Чиджи ответил “да”.
“Я думаю, что это то, на что мы смотрим, особенно в том, что добавление к структуре у нас есть больше внешнего процесса модерации или бенчмаркинга”, — сказала она.
“То, что мы имеем с моделью зрелости, уже в какой-то степени улучшает наши сравнительные возможности между агентствами, но мы рассматриваем, как мы еще больше усиливаем это с помощью внешнего механизма.
“Независимо от того, делаем ли мы это с помощью перекрестной оценки агентств друг другом или централизованных механизмов для входа и оценки или модерирования результатов оценки агентств, мы работаем над этим и проводим некоторые первоначальные беседы с коллегами, например, в Новой Зеландии.”
Комментарии приходят, когда правительство обсуждает введение более жесткого регулирования защиты кибербезопасности для частного сектора, особенно банков, здравоохранения, коммунальных услуг и другой критической инфраструктуры.
Минимальные стандарты кибербезопасности для бизнеса, которые могут быть установлены “по отраслям”, скорее всего, будут введены позже в этом году в рамках правительственной стратегии кибербезопасности.
Но депутат от Лейбористской партии и заместитель председателя комитета Джулиан Хилл заявил, что введение обязательных стандартов в частном секторе, когда правительство изо всех сил пытается обеспечить соблюдение своих собственных стандартов кибербезопасности в рамках PSPF, может быть расценено как лицемерие.
“Таким образом, мы имеем такую ситуацию в Содружестве, где нет никакого регулятора или принуждения к соблюдению субъектами Содружества государственных стандартов”, — сказал он.
“И все же правительство там плавает там, чтобы положить некоторые зубы в регулирование частного сектора. К чему это различие?”
В ответ первый помощник министра внутренних дел по кибер -, цифровой и технологической политике Хэмиш Хэнсфорд заявил, что “существует целый ряд различных вариантов регулирования”, которые правительство рассматривает в рамках предстоящей стратегии кибербезопасности.
“В контексте регулирования, очевидно, вопрос для правительства состоит в том, чтобы посмотреть, как, если и когда или почему они будут регулировать, и в какой степени правительство будет включено в любую регулирующую реформу или любой целостный ответ на кибербезопасность”, — сказал он.
Хэнсфорд также сказал, что правительство в рамках стратегии кибербезопасности рассматривает “самый большой вопрос” — “как вы защищаетесь в масштабе”.
“Как вы предотвращаете кибератаки в масштабах всего Содружества, во всех наших организациях, как это выглядит, и как вы смотрите на агрегацию в более общем плане, и как вы смотрите на целостную сеть правительственных операций”, — сказал он.
“И это действительно ключевой вопрос макро-политики кибербезопасности, который департамент очень внимательно изучает вместе с Агентством цифровой трансформации.
“И, как я уже указывал ранее, в ближайшие месяцы у правительства будет что сказать по поводу правительственной кибербезопасности.”
Вопросы также остаются по поводу уровня подотчетности агентств парламенту, учитывая, что попытки Лейбористов получить ответы по Четырем Основным и восьми основным требованиям в прошлом году были встречены таким же общим ответом.
В этих ответах агентства — или, скорее всего, ASD и МВД — заявили, что публичная отчетность отдельных агентств о соблюдении Основных восьми “может обеспечить тепловую карту уязвимостей“, которая может “увеличить риск киберинцидентов агентства ”.
Как отметил Теневой помощник министра кибербезопасности Тим Уоттс, не сообщая об этих деталях на публичном форуме или в анонимном докладе ASD о положении в области кибербезопасности парламенту, правительство сделало выбор в пользу “безопасности в безвестности”.
