Hoe kan hierdie Australiese sekuriteitsinisiatiewe u besigheid help?
INHOUDSOPGAWE:
In onlangse jare het Australiese organisasies 'n eskalerende golf van kuberbedreigings in die gesig gestaar, onderstreep deur hoëprofiel-data-oortredings en gesofistikeerde kuberaanvalle. Hierdie kommerwekkende neiging beklemtoon die kritieke behoefte aan robuuste kuberveiligheidsmaatreëls. Voer die Australiese kuberveiligheidsentrum (ACSC)'s in Essensiële Agt en die Departement van Onderwys, Vaardighede en Indiensneming (DESE) se Reg geskik vir risiko (RFFR) raamwerk.
Dit dien as 'n hoeksteen vir kuberveiligheidverdediging, wat die Albanese regering se inisiatiewe versterk wat daarop gemik is om nasionale kuberveerkragtigheid te verbeter. Hulle kan egter beskou word as aanvullend tot eerder as 'n vervanging vir internasionale standaard ISO 27001.
Verstaan die raamwerke
Die Essential Eight is 'n stel strategieë wat daarop gemik is om 'n basislyn kubersekuriteitsposisie vir organisasies te verskaf. Dit is ontwerp om verskeie kuberbedreigings te versag, met die klem op die belangrikheid van proaktiewe maatreëls soos toepassingsbeheer, pleistering, beperking van administratiewe voorregte, multi-faktor-verifikasie (MFA) en gereelde rugsteun.
Volgens Edward Farrell, HUB en hoofkonsultant by Mercury Information Security Services, het die Essential Eight ontstaan uit 'n ontleding van die grondoorsake van kuber-indringings oor byna 'n dekade.
"Dit was oorspronklik die top vier wat deel gevorm het van die 35 versagtings om kuber-indringing te hanteer," vertel Farrell aan ISMS.online. “Vandag is dit ingebou in die Essential Eight, wat gehandel het oor 'n oorvloed van nuwe aanvalle wat hulle gesien het. Dus, dinge soos Office-makro's, oortreding van MFA, oortreding van gebruikersnaam en wagwoordbewyse deur wagwoordraai, en probleme met Java en Flash, sowel as die ander dinge.
RFFR vul die Essential Eight aan deur 'n meer pasgemaakte benadering tot die bestuur van kuberveiligheidsrisiko's te bied. Dit fokus daarop om spesifieke kwesbaarhede binne 'n organisasie te verstaan en aan te spreek, wat 'n kultuur van voortdurende verbetering en risikobestuur aanmoedig. Saam help hierdie regeringsinisiatiewe organisasies om nie net teen bekende bedreigings te beskerm nie, maar ook om aan te pas en te reageer op nuwe uitdagings soos hulle opduik, wat 'n robuuste kubersekuriteitsposisie in die gesig van veranderende bedreigings verseker.
Oortredings oorvloed
'n Onlangse vlaag data-oortredings in Australië beklemtoon die toenemende uitdaging wat binnelandse organisasies in die gesig staar. An Australiese inligtingskommissaris-verslag vir Januarie tot Junie 2023 het 'n totaal van 409 oortredings aan die lig gebring, wat 'n effense afname vanaf die vorige tydperk toon, maar die aanhoudende bedreiging onderstreep, met kwaadwillige of kriminele aanvalle wat verantwoordelik is vir 70% van hierdie voorvalle. Die gesondheids- en finansiesektore het na vore getree as die grootste slagoffers.
Geen organisasie is egter vandag veilig teen potensiële kompromie nie. Opvallende onlangse voorvalle sluit 'n oortreding by Woolworths-filiaal MyDeal, wat 'n geskatte 2.2 miljoen kliënte raak, en voorvalle wat entiteite soos Nissan, Wollongong Universiteit, Boeing, Sony, Duolingo, Pizza Hut en DP World Australia raak. Dit het gewissel van ransomware-aanvalle en dataskraping tot diefstal van sensitiewe klant- en werknemerinligting.
Die diversiteit en frekwensie van hierdie voorvalle beklemtoon die belangrikheid van die implementering van robuuste kuberveiligheidsmaatreëls soos die Essential Eight en RFFR, om veerkragtigheid te bou teen die toenemende kuberrisiko.
Die Albanese regering se kuberveiligheidsstoot
In reaksie op die ontwikkelende bedreigingslandskap het die Albanese regering beduidende stappe gedoen om die land se kuberveiligheid te versterk – insluitend 'n nuwe nasionale kuberveiligheidstrategie.
Farrell stel egter die behoefte aan 'n meer genuanseerde strategie voor, aangepas by die unieke behoeftes van spesifieke Australiese organisasies en sektore.
"Die realiteit is dat ons in 2018 kubergesondheidsondersoeke vir kleinsakeondernemings gedoen het ... en dit het regtig nie opgestyg nie," voer hy aan.
Essential Eight vs. ISO 27001
Die Essential Eight fokus op praktiese strategieë om kuberveiligheidsvoorvalle te versag, spesifiek aangepas om algemene kuberbedreigings te bekamp. Die eenvoudige, uitvoerbare maatreëls is ontwerp vir onmiddellike implementering, wat aspekte soos witlys van toepassings dek, toepassings regmaak en administratiewe voorregte beperk. Dit is veral effektief vir organisasies wat op soek is na duidelike, direkte riglyne om hul kuberveiligheid te verbeter.
ISO 27001, aan die ander kant, bied 'n omvattende raamwerk vir die bestuur van inligtingsekuriteit deur 'n inligtingsekuriteitbestuurstelsel (ISMS). Dit bied 'n holistiese benadering tot inligtingsekuriteit, nie beperk tot kuberbedreigings nie, maar sluit alle vorme van inligtingsekuriteit in. ISO 27001 vereis dat organisasies hul inligtingsekuriteitsrisiko's evalueer en toepaslike beheermaatreëls implementeer wat aangepas is vir hul spesifieke behoeftes. Hierdie standaard beklemtoon voortdurende verbetering en voldoening aan 'n stel gespesifiseerde vereistes.
RFFR teenoor ISO 27001
RFFR is nader aan ISO 27001. Dit moedig organisasies aan om 'n risikobestuursbenadering aan te neem wat aangepas is vir hul spesifieke bedryfskonteks. Dit strook nou met die risikobepaling en bestuursbeginsels van ISO 27001, maar is spesifiek gekontekstualiseer vir die Australiese kuberveiligheidsomgewing. Terwyl ISO 27001 'n breë raamwerk bied wat toepaslik is oor verskeie industrieë wêreldwyd, gee RFFR die unieke kuberveiligheidsrisiko's wat Australiese entiteite in die gesig staar, nul.
'n Breër benadering
Australiese organisasies word aangeraai om die Essential Eight, RFFR en ISO 27001 te integreer vir 'n afgeronde kuberveiligheidstrategie.
"Raamwerke is wonderlik as dit 'n baie netjiese, netjiese omgewing is ... terwyl ek dink kontekstuele veranderinge en begrip van die domein waarin jy werk, gaan elke keer verskil," voer Farrell aan.
Hy beklemtoon die belangrikheid van aanpasbaarheid. En die behoefte vir organisasies om nie net fundamentele sekuriteitsmaatreëls wat deur die Essential Eight verskaf word, te implementeer nie, maar ook die breër bestuur- en risikobestuursaspekte van ISO 27001 en die gekontekstualiseerde risikostrategieë van RFFR.
Implementering van die Raamwerke
Die implementering van kuberveiligheidsinisiatiewe soos die Essential Eight, RFFR en ISO 27001 kan kompleks wees, maar 'n gefokusde benadering help om uitdagings te navigeer. Volgens Phillip Ivancic, APAC-hoof van oplossings by die Synopsys Software Integrity Group, is een van die grootste struikelblokke om 'n kultuur te handhaaf waar sekuriteitskontroles konsekwent toegepas word, selfs wanneer dit ongerieflik is.
“Die Essential Eight beveel self basiese stappe aan soos die handhawing van pleistering, die beperking van administratiewe toegang en om te verseker dat rugsteun onderhou en getoets word. Alles oënskynlik eenvoudige en gesonde verstand kontroles. Om egter met kliënte te praat, is die grootste uitdaging wat hulle in die gesig staar om 'n kultuur te handhaaf om hierdie kontroles dag in en dag uit uit te voer,” sê hy aan ISMS.online.
“Personeellede moet hul belangrikheid verstaan, en daar moet 'n kultuur wees wat hierdie basiese beheermaatreëls in plek hou selfs wanneer dit nie gerieflik is nie. Dit is eenvoudig nie 'n 'eenmalige' stuk werk nie, maar 'n raamwerk vir deurlopende dissiplines.”
Om mense soos Essential Eight en ISO 27001 in die praktyk te bring, vereis die navigasie van uitdagings soos hulpbrontoewysing, integrasie met huidige stelsels, ontwikkelende bedreigings en die bevordering van werknemersbewustheid. Om dit te doen, moet organisasies deeglike risikobeoordelings doen om prioriteite te stel, voldoende hulpbronne toe te wys, 'n gefaseerde benadering aan te neem om kompleksiteit te bestuur, 'n sekuriteitsbewuste kultuur te kweek en sekuriteitspraktyke gereeld op te dateer om nuwe bedreigings teë te werk.
"Vir groter organisasies is die outomatisering van kwesbaarheidsbestuur deur Application Security Posture Management (ASPM) gereedskap, waar handmatige penetrasietoetsresultate outomaties vergelyk word met skanderingsnutsmiddels met geprioritiseerde aanbevelings, die grootste neiging onder my kliënte," voeg Ivancic by.
Deur eksterne kundigheid te betrek en outomatisering vir doeltreffendheid te gebruik, kan organisasies hul kuberveiligheidsverdediging op 'n praktiese en volhoubare manier versterk. Deurlopende onderwys bly noodsaaklik om te verseker dat alle personeellede die belangrikheid van die sekuriteitskontroles verstaan, en gedissiplineerd is om dit konsekwent te handhaaf.
Die toekoms van Australiese kuberveiligheid
Terwyl Australië 'n ontwikkelende bedreigingslandskap navigeer, bly inisiatiewe soos die Essential Eight en RFFR en beste praktykstandaarde soos ISO 27001 hoekstene van 'n proaktiewe benadering tot kuberveiligheid.
Farrell verwag toekomstige regeringsinisiatiewe en stel 'n stoot voor na "verbetering van samewerking tussen die openbare en private sektore" en 'n beduidende belegging in "kubersekuriteitsopvoeding en arbeidsmagontwikkeling". Hierdie pogings behoort te help om die deel van bedreigingsintelligensie en inligting oor kwesbaarhede te verbeter, en uiteindelik 'n meer veerkragtige kuberveiligheid-ekosisteem regoor Australië te bevorder.
Daar word ook verwag dat beste praktykraamwerke en -standaarde in ooreenstemming met die bedreigingslandskap sal ontwikkel. Die uitdaging, soos altyd, sal wees om te vermy om die kubermisdaadgemeenskap in te haal.
