Mitä Australian kyberturvallisuusstrategia tarkoittaa yrityksellesi?
Sisällysluettelo:
Australian hallitukselta ei puutu kunnianhimoa. Uuden lanseerauksessa Kyberturvallisuusstrategia 2023–2030 marraskuussa se väitti asiakirjan tarjoavan etenemissuunnitelman alan "maailmanjohtajaksi" tulemiseen päättymispäivään mennessä. Sillä on pitkä tie kuljettavana, koska viime vuosien aikana on tapahtunut useita korkean profiilin rikkomuksia.
Sen lähettämä viesti on selvä: kriittisen infrastruktuurin (CNI) tarjoajille ja teknologian valmistajille tulee uusia velvoitteita, joiden tarkoituksena on nostaa kyberturvallisuuden rimaa. Tavallisille yrityksille luvataan tukea ja selkeyttä, jonka tarkoituksena on parantaa perusturvastandardeja.
Australialaisten organisaatioiden tulisi siksi tarkastella uutta hallituksen strategiaa mahdollisuutena. Ne, jotka käsittelevät turva-asentojen puutteita tänään, huomaavat, että heillä on huomenna enemmän aikaa keskittyä liiketoiminnan kasvattamiseen sen sijaan, että he huolehtisivat hallituksen vaatimusten täyttämisestä. Niille, jotka eivät kuulu erityisten valtuuksien piiriin, voisi olla hyödyllinen hetki tarkastella uudelleen ja päivittää turvallisuusstrategia.
Miksi Australia tarvitsee uuden kyberstrategian?
Australialaiset organisaatiot ovat yhä suositumpi kohde valtion tukemille ja taloudellisesti motivoituneille uhkatoimijoille. Australian Signals Directorate (ASD) vaatimukset että tilikauden 2022-23 aikana lähes 94,000 XNUMX ilmoitusta lainvalvontaviranomaisille tehtiin ReportCyberin kautta. Tämä on yksi joka kuudes minuutti – vaikka monet muut ovat todennäköisesti jääneet ilmoittamatta. Se korostaa useita haasteita:
⦁ Valtion toimijat, jotka kohdistavat valtion ja CNI:n omaisuutta vakoilua ja häiriöitä varten – erityisesti AUKUS-kumppanuudesta johtuvat mahdolliset IP-varkaudet
⦁ Etätoimijoiden kasvava uhka CNI:lle, kuten hyökkäyksiä vastaan DP World
⦁ Kiristysohjelma- ja DDoS-hyökkäysten määrä
⦁ Suuret tietomurrot, mukaan lukien suuret nimet, kuten Optus, Medibank, Telstra ja Latitude
⦁ Nopeus, jolla uusia haavoittuvuuksia hyödynnetään. ASD sanoo, että joka viides oli vipuvaikutettu 48 tunnin sisällä
Sen lisäksi, että tietoverkkorikollisuusraportit ovat nousseet 23 prosenttia vuosittain, myös kunkin tapauksen kustannukset ovat nousseet 14 prosenttia, ASD sanoo.
Mitä kyberstrategiassa on?
Australian kyberturvallisuusstrategia koostuu kuudesta "kyberkilvestä", jotka kattavat seuraavat alueet:
1) Pk-yritysten ja kansalaisten tukeminen kyberturvallisuuden vahvistamisessa
2) Teknologian turvallisuuden parantaminen australialaisten kannalta
3) Maailmanluokan uhkien jakamis- ja estoverkon luominen
4) Kriittisen infrastruktuurin suojaaminen
5) Kotimaisen kyberturvallisuusteollisuuden ja työvoiman tehostaminen
6) Kestävän alueellisen ja maailmanlaajuisen johtajuuden tarjoaminen
Jokainen näistä kilpeistä sisältää erilaisia toimintoja, jotka on lueteltu hallituksen ohjeissa Toimintasuunnitelma. Tietoturvallisuuden näkökulmasta strategian tärkeimmät osat ovat kilvet 1-4. Ne sisältävät hallituksen suunnitelmia:
Suoja 1:
⦁ Luo terveystarkastuksia ja ohjeita pk-yrityksille
⦁ Tee yhteistyötä teollisuuden kanssa ja suunnittele yrityksille vastuuton kiristysohjelmien raportointivelvollisuus
⦁ Tarjoa teollisuudelle tietoa nykyisen sääntelyn mukaisista kyberhallintavelvoitteista
Suoja 2:
⦁ Yhteistyö teollisuuden kanssa pakollisen kyberturvallisuusstandardin ja vapaaehtoisen merkintäjärjestelmän suunnittelussa
⦁ Suunnittele yhdessä vapaaehtoinen suojauskäytäntö sovelluskaupoille ja sovellusten kehittäjille
⦁ Kehitetään kehys toimittajan tuotteiden ja palvelujen kansallisten turvallisuusriskien arvioimiseksi
⦁ Kehitä vaihtoehtoja Australian herkimpien ja kriittisimpien tietojoukkojen suojaamiseksi, joita ei ole asianmukaisesti suojattu nykyisten säädösten mukaan
⦁ Upota kyberturvallisuus varmistaaksesi, että tekoälyä kehitetään ja käytetään turvallisesti ja vastuullisesti
⦁ Aseta standardit postkvanttisalaukselle
Suoja 3:
⦁ Kannustaa toimialaa osallistumaan uhkien jakamiseen
⦁ Kannustaa uhkien estämistä koko taloudessa, erityisesti CNI-yrityksissä, kuten puhelinyhtiöt ja Internet-palveluntarjoajat
Suoja 4:
⦁ Kohdista puhelinlaitteet samoihin standardeihin kuin muut CNI-yksiköt
⦁ Selvennä hallittujen palveluntarjoajien sääntelyä
⦁ Sisällytä kybersääntely lento- ja merenkulun aloille
⦁ Suojaa CNI-palveluntarjoajien tärkeitä tietoja
⦁ Aktivoi tehostetut kyberturvallisuusvelvoitteet "kansallisesti merkittäville järjestelmille"
⦁ Viimeistele CNI:n vaatimustenmukaisuuden seuranta- ja arviointikehys
⦁ Laajenna kriisinhallintajärjestelyjä
⦁ Vahvista ministeriöiden ja virastojen kyberkypsyyttä, mukaan lukien nolla luottamus
⦁ Nimeä "hallinnon kannalta merkittävät järjestelmät", jotka on suojattava korkeammalla kyberturvallisuustasolla
⦁ Suorita kansallisia kyberturvallisuusharjoituksia koko taloudessa
⦁ Luo pelikirjoja tapahtumien reagointia varten
Mitä australialaisten järjestöjen pitäisi tehdä?
Vaikka tiukimmat vaatimukset koskevat CNI-yrityksiä ja teknologian tarjoajia, on olemassa joitain nopeita voittoja, joita kaikentyyppiset organisaatiot voivat tavoittaa, KnowBe4:n APAC-tietoturvatietoisuuden puolestapuhuja Jacqueline Jayne sanoo.
"Suurin puute on inhimillisten virheiden korjaaminen, ja tämä on johdonmukaista maailmanlaajuisesti", hän kertoo ISMS.online-sivustolle. "Toteuta siis jatkuva, relevantti ja mukaansatempaava turvallisuustietoisuusohjelma, joka sisältää mahdollisuuden soveltaa tätä uutta tietoa simuloiduilla sosiaalisen manipuloinnin toimilla."
Muita helposti saavutettavia parhaita käytäntöjä ovat monitekijätodennuksen (MFA) ottaminen käyttöön ja salasanojen hallintaohjelmien käyttöönotto vahvoja ja yksilöllisiä salasanoja varten sekä automaattisten päivitysten varmistaminen, että tiedot varmuuskopioidaan säännöllisesti offline-tilassa. "Epäolennaiset tai vanhentuneet tiedot" pitäisi myös olla onnistui "asianmukaisesti" riskialtistuksen minimoimiseksi, hän lisää.
Inversion6 CISO Damir Brescicin ensimmäisenä satamassa australialaisten organisaatioiden tulisi olla riskinarviointi perustan luomiseksi uhkien tunnistamiselle ja priorisoinnille. Tärkeitä ovat myös arkaluonteisten tietojen salaus, verkon segmentointi hyökkäysten leviämisen rajoittamiseksi, tapahtumien reagoinnin suunnittelu, jatkuva tietoturvalokien seuranta/analyysi ja vähiten etuoikeuskäytännön noudattaminen, hän lisää.
"Jos organisaatio haluaa parantaa yleistä kyberturva-asentoaan, aloita useilla parannuksilla ja suorita vuosittainen tarkistus varmistaaksesi, että yleisasentosi paranee ja kypsyy edelleen", hän kertoo ISMS.online-sivustolle.
Nozomi Networksin teknisen tuen johtaja Marty Rickard varoittaa "varjolaitteiden" vaaroista, jotka saattavat olla hallitsemattomia ja korjaamattomia. ”IoT-laitteiden yleistyessä ja hyväksytyssä niihin liittyvät riskit kasvavat. Laitteet, joiden alkuperä on huono tai tuntematon, johtavat todennäköisesti suurempiin määriin ja vakaviin haavoittuvuuksiin ja riskeihin, hän kertoo ISMS.online-sivustolle.
"Organisaatioiden tulisi panostaa ohjelmistojen materiaalilaskujen (SBOM) ja toimittajan tietoturvan hallintaprosessien käyttöönottoon, ei vain IoT-laitteille. Nämä laitteet tulee valita huolellisesti ja ottaa käyttöön asianmukaisesti suojatuissa erillisalueissa organisaation infrastruktuurissa, jotta voidaan rajoittaa altistumista ja mahdollisia vaikutuksia, joita käytetään tuntemattoman haavoittuvuuden vuoksi."
Miten ISO 27001 ja parhaiden käytäntöjen viitekehykset voivat auttaa?
Suurin osa yllä olevista neuvoista vastaa ASD:n suosituksia Strategiat kyberturvallisuusonnettomuuksien lieventämiseksi. Oleellinen kahdeksan on supistettu luettelo, joka on helpommin hallittavissa pienille organisaatioille ja kyberkypsyysasteikon alempana oleville organisaatioille.
Isommat organisaatiot voivat kuitenkin hyötyä ISO 27001 -standardin noudattamisesta. Tämä maailmanlaajuisesti tunnustettu standardi asettaa vaatimukset tietoturvan hallintajärjestelmälle (ISMS). Vaatimustenmukaisuus voi auttaa parantamaan perusturvallisuutta ja takaamaan, että kriittiset omaisuudet on suojattu 93:ssa hallintajärjestelmässä, jotka on ryhmitelty organisaation, henkilöiden, fyysisten ja teknologisten hallintaan.
"Australialaiset yritykset tarvitsevat tukea sekä puolustautuakseen yleisiä uhkia vastaan että kehittääkseen kyberluottamustaan", sanoo CyberSmartin toimitusjohtaja Jamie Akhtar. "ISO 27001:n kaltaiset standardit voivat auttaa heitä tekemään tämän antamalla heille mahdollisuuden rakentaa jatkuvan parantamisen kulttuuria kyberturvallisuuskäytäntöihinsä, mikä tekee heistä ja Australiasta paremmat valmiudet torjua kyberuhkia."
Jos hallitus aikoo täyttää "maailman johtavat" tavoitteensa, australialaisten organisaatioiden on toimittava ennakoivasti kyberriskin vähentämisessä. Alan puitteet ja standardit voivat olla tärkeä liittolainen tällä matkalla.
"Onpa kyseessä ISO 27001 -vaatimustenmukaisuus, Essential Eight, NIST tai mikä tahansa muu viitekehys, jokaisen organisaation on löydettävä sopivin, joka sopii yhteen organisaationsa kanssa", päättää KnowBe4:n Jayne.
