Kuinka nämä Australian turvallisuusaloitteet voivat auttaa yritystäsi?
Sisällysluettelo:
Viime vuosina australialaiset organisaatiot ovat kohdanneet lisääntyvän kyberuhkien aallon, jota ovat korostaneet korkean profiilin tietomurrot ja kehittyneet kyberhyökkäykset. Tämä huolestuttava trendi korostaa vahvaa kyberturvallisuustoimenpiteiden tarvetta. Siirry Australian Cyber Security Centerin (ACSC) tietoihin Oleellinen kahdeksan ja koulutus-, taito- ja työllisyysministeriön (DESE) Right Fit for Risk (RFFR) -kehys.
Ne toimivat kyberturvallisuuden kulmakivenä ja tukevat Albanian hallituksen aloitteita kansallisen kyberresilienssin parantamiseksi. Niiden voidaan kuitenkin katsoa täydentävän kansainvälistä ISO 27001 -standardia sen sijaan, että ne korvaavat sen.
Kehysten ymmärtäminen
Essential Eight on joukko strategioita, joiden tarkoituksena on tarjota organisaatioille kyberturvallisuuden perusasetelma. Ne on suunniteltu lieventämään erilaisia kyberuhkia ja korostamaan ennakoivien toimenpiteiden merkitystä, kuten sovellusten hallintaa, korjauksia, järjestelmänvalvojan oikeuksien rajoittamista, monitekijätodennusta (MFA) ja säännöllistä varmuuskopiointia.
Mercury Information Security Servicesin toimitusjohtajan ja pääkonsultin Edward Farrellin mukaan Essential Eight sai alkunsa kybermurron perimmäisten syiden analysoinnista lähes vuosikymmenen ajan.
"Se oli alun perin neljä parasta, jotka olivat osa 35 lievennystä kybertunkeutumisten torjumiseksi", Farrell kertoo ISMS.onlinelle. "Tänään se on rakennettu Essential Eightiin, joka käsitteli lukuisia uusia hyökkäyksiä, joita he näkivät. Joten asiat, kuten Office-makrot, MFA:n rikkominen, salasanan arvaamisen kautta tapahtuva käyttäjätunnus- ja salasanatietojen rikkominen, Java- ja Flash-ongelmat sekä muut asiat."
RFFR täydentää Essential Eightia tarjoamalla räätälöidymmän lähestymistavan kyberturvallisuusriskien hallintaan. Se keskittyy ymmärtämään ja käsittelemään haavoittuvuuksia organisaation sisällä ja kannustamaan jatkuvan parantamisen ja riskienhallinnan kulttuuria. Yhdessä nämä hallituksen aloitteet auttavat organisaatioita paitsi suojautumaan tunnetuilta uhilta, myös sopeutumaan ja vastaamaan uusiin haasteisiin niiden ilmaantuessa, mikä varmistaa vankan kyberturvallisuuden asenteen kehittyvien uhkien edessä.
Rikkoo Galorea
Viimeaikaiset tietomurrot Australiassa korostavat kotimaisten organisaatioiden kasvavaa haastetta. An Australian tiedotuskomissaarin raportti tammi-kesäkuussa 2023 paljastui yhteensä 409 rikkomusta, mikä osoittaa hieman laskua edellisestä kaudesta, mutta korosti jatkuvaa uhkaa. Haitallisten tai rikollisten hyökkäysten osuus näistä tapauksista oli 70 prosenttia. Terveys- ja rahoitusalat nousivat suurimpana uhreina.
Mikään organisaatio ei kuitenkaan ole tänään turvassa mahdollisilta kompromisseilta. Merkittäviä viimeaikaisia tapahtumia sisältää Woolworthsin tytäryhtiön MyDealin rikkomus, joka vaikuttaa arviolta 2.2 miljoonaan asiakkaaseen, ja tapaukset, jotka vaikuttavat sellaisiin kokonaisuuksiin kuin Nissan, Wollongong University, Boeing, Sony, Duolingo, Pizza Hut ja DP World Australia. Nämä vaihtelivat kiristysohjelmahyökkäyksistä ja tietojen kaapimisesta arkaluontoisten asiakas- ja työntekijätietojen varkauksiin.
Näiden tapausten monimuotoisuus ja esiintymistiheys korostavat, kuinka tärkeää on ottaa käyttöön vankkoja kyberturvallisuustoimenpiteitä, kuten Essential Eight ja RFFR, jotta voidaan rakentaa sietokykyä kasvavan kyberriskin edessä.
Albanian hallituksen kyberturvallisuustyöntö
Vastauksena muuttuvaan uhkamaisemaan Albanian hallitus on ryhtynyt merkittäviin toimiin maan kyberturvallisuuden vahvistamiseksi – mm. uusi kansallinen kyberturvallisuusstrategia.
Farrell ehdottaa kuitenkin, että tarvitaan vivahteikkaampi strategia, joka on räätälöity tiettyjen australialaisten organisaatioiden ja sektoreiden ainutlaatuisiin tarpeisiin.
"Todellisuus on, että teimme pienyritysten kyberterveystarkastuksia vuonna 2018... eivätkä ne todellakaan lähteneet liikkeelle", hän väittää.
Essential Eight vs. ISO 27001
Essential Eight keskittyy käytännön strategioihin kyberturvallisuushäiriöiden lieventämiseksi, ja ne on erityisesti räätälöity yleisten kyberuhkien torjuntaan. Sen suoraviivaiset, käyttökelpoiset toimenpiteet on suunniteltu välittömään käyttöönotettaviksi, ja ne kattavat muun muassa sovellusten sallitun luettelon lisäämisen, sovellusten korjaukset ja järjestelmänvalvojan oikeuksien rajoittamisen. Se on erityisen tehokas organisaatioille, jotka etsivät selkeitä, suoria ohjeita kyberturvallisuuden sietokyvyn parantamiseksi.
ISO 27001 puolestaan tarjoaa kattavan kehyksen tietoturvan hallintaan tietoturvallisuuden hallintajärjestelmän (ISMS) kautta. Se tarjoaa kokonaisvaltaisen lähestymistavan tietoturvaan, joka ei rajoitu kyberuhkiin, vaan kattaa kaikki tietoturvan muodot. ISO 27001 edellyttää, että organisaatiot arvioivat tietoturvariskinsä ja ottavat käyttöön asianmukaisia, omiin tarpeisiinsa räätälöityjä valvontatoimia. Tämä standardi korostaa jatkuvaa parantamista ja tiettyjen vaatimusten noudattamista.
RFFR vs. ISO 27001
RFFR on lähempänä ISO 27001 -standardia. Se rohkaisee organisaatioita ottamaan käyttöön riskinhallintamenetelmän, joka on räätälöity niiden erityiseen toimintaympäristöön. Se on tiiviisti yhdenmukainen ISO 27001:n riskinarviointi- ja hallintaperiaatteiden kanssa, mutta on erityisesti kontekstualisoitu Australian kyberturvallisuusympäristöön. Vaikka ISO 27001 tarjoaa laajan kehyksen, jota voidaan soveltaa useilla toimialoilla maailmanlaajuisesti, RFFR nollaa australialaisten yksiköiden kohtaamat ainutlaatuiset kyberturvallisuusriskit.
Laajempi lähestymistapa
Australialaisia organisaatioita kehotetaan yhdistämään Essential Eight, RFFR ja ISO 27001 monipuolisen kyberturvallisuusstrategian saavuttamiseksi.
"Frameworks on hienoa, jos se on erittäin siisti ja siisti ympäristö... kun taas mielestäni kontekstuaaliset muutokset ja toimialueen ymmärtäminen vaihtelevat joka kerta", Farrell väittää.
Hän korostaa sopeutumiskyvyn merkitystä. Organisaatioiden on paitsi otettava käyttöön Essential Eightin tarjoamia perusturvatoimia myös ISO 27001:n laajempia hallinto- ja riskienhallintanäkökohtia ja RFFR:n kontekstuaalisia riskistrategioita.
Kehysten täytäntöönpano
Kyberturvallisuusaloitteiden, kuten Essential Eight, RFFR ja ISO 27001, toteuttaminen voi olla monimutkaista, mutta kohdennettu lähestymistapa auttaa navigoimaan haasteissa. Synopsys Software Integrity Groupin APAC-ratkaisujen päällikön Phillip Ivancicin mukaan yksi suurimmista esteistä on sellaisen kulttuurin ylläpitäminen, jossa turvatarkastuksia sovelletaan johdonmukaisesti, vaikka se olisi hankalaa.
"Essential Eight itse suosittelee perusvaiheita, kuten korjausten ylläpitoa, järjestelmänvalvojan käyttöoikeuksien rajoittamista ja varmuuskopioiden ylläpidon ja testauksen varmistamista. Kaikki näennäisesti yksinkertaisia ja järkeviä hallintalaitteita. Asiakkaiden kanssa keskustellessa suurin haaste, jonka he kohtaavat, on kuitenkin näiden hallintalaitteiden päivittäisen käytön kulttuurin ylläpitäminen”, hän kertoo ISMS.online-sivustolle.
”Henkilökunnan jäsenten on ymmärrettävä niiden tärkeys, ja tarvitaan kulttuuria, joka pitää nämä perussäädöt paikoillaan silloinkin, kun ne eivät ole mukavia. Se ei yksinkertaisesti ole "kertaluonteinen" työ, vaan puitteet jatkuvalle tieteenalalle."
Essential Eightin ja ISO 27001:n kaltaisten käytäntöjen toteuttaminen vaatii navigointia haasteissa, kuten resurssien allokoinnissa, integroinnissa nykyisiin järjestelmiin, kehittyviin uhkiin ja työntekijöiden tietoisuuden lisäämiseen. Tätä varten organisaatioiden tulee suorittaa perusteellisia riskinarviointeja priorisoimiseksi, kohdistaa riittävästi resursseja, omaksuttava vaiheittainen lähestymistapa monimutkaisuuden hallintaan, viljeltävä turvallisuustietoista kulttuuria ja päivitettävä säännöllisesti turvallisuuskäytäntöjä uusien uhkien torjumiseksi.
"Suuremmissa organisaatioissa haavoittuvuuksien hallinnan automatisointi Application Security Posture Management (ASPM) -työkaluilla, joissa manuaalisia läpäisytestien tuloksia verrataan automaattisesti priorisoiduilla suosituksilla varustettuihin skannaustyökaluihin, on asiakkaideni suurin trendi", Ivancic lisää.
Ulkopuolista osaamista hyödyntämällä ja automaatiota tehostamalla organisaatiot voivat vahvistaa kyberturvallisuuttaan käytännöllisesti ja kestävästi. Jatkuva koulutus on edelleen elintärkeää sen varmistamiseksi, että kaikki henkilöstön jäsenet ymmärtävät turvavalvonnan tärkeyden ja ovat kurinalaisia niiden johdonmukaisessa ylläpidossa.
Australian kyberturvallisuuden tulevaisuus
Australian liikkuessa kehittyvässä uhkamaisemassa Essential Eightin ja RFFR:n kaltaiset aloitteet ja parhaiden käytäntöjen standardit, kuten ISO 27001, ovat edelleen ennakoivan kyberturvallisuuden kulmakiviä.
Ennakoimalla tulevia hallituksen aloitteita Farrell ehdottaa työntöä kohti "julkisen ja yksityisen sektorin välisen yhteistyön tehostamista" ja merkittäviä investointeja "kyberturvallisuuskoulutukseen ja työvoiman kehittämiseen". Näiden toimien pitäisi auttaa parantamaan uhkien tiedustelutietojen ja haavoittuvuuksia koskevien tietojen jakamista, mikä viime kädessä edistää kestävämpää kyberturvallisuuden ekosysteemiä kaikkialla Australiassa.
Parhaiden käytäntöjen puitteiden ja standardien odotetaan myös kehittyvän uhkamaiseman mukaisesti. Haasteena, kuten aina, tulee olemaan välttää leikkimistä kyberrikollisyhteisön kanssa.
