Wat beteken die Australiese kuberveiligheidstrategie vir u besigheid?
INHOUDSOPGAWE:
Die Australiese regering kort nie ambisie nie. Op die bekendstelling van sy nuwe Kuberveiligheidstrategie 2023-2030 in November het dit beweer die dokument sal 'n padkaart verskaf om 'n "wêreldleier" op die gebied te word teen die einddatum. Dit het 'n lang pad om te gaan, gegewe 'n vlaag hoëprofiel-oortredings die afgelope paar jaar.
Die boodskap wat dit stuur, is duidelik: vir verskaffers van kritieke infrastruktuur (CNI) en tegnologievervaardigers sal daar nuwe verpligtinge wees wat ontwerp is om die balk op kuberveiligheid te verhoog. Vir gereelde besighede is daar beloofde ondersteuning en duidelikheid wat bedoel is om te help om basiese sekuriteitstandaarde te verbeter.
Australiese organisasies moet dus na die nuwe regeringstrategie as 'n geleentheid kyk. Diegene wat vandag sekuriteitsposisiegapings aanspreek, sal vind dat hulle môre meer tyd het om te fokus op die groei van hul besigheid eerder as om bekommerd te wees oor die voldoening aan die regering se vereistes. Vir diegene wat nie deur spesifieke mandate gedek word nie, kan dit 'n nuttige oomblik wees om die sekuriteitstrategie te hersien en op te dateer.
Waarom het Australië 'n nuwe kuberstrategie nodig?
Australiese organisasies is 'n toenemend gewilde teiken vir staatsgesteunde en finansieel gemotiveerde bedreigingsakteurs. Die Australiese Seine Direktoraat (ASD) eise dat gedurende die boekjaar 2022-23, byna 94,000 XNUMX verslae aan wetstoepassing gemaak is deur ReportCyber. Dit kom neer op een elke ses minute - hoewel baie meer waarskynlik nie aangemeld sal word nie. Dit beklemtoon verskeie uitdagings:
⦁ Staatsakteurs wat regerings- en CNI-bates teiken vir spioenasie en ontwrigting – veral potensiële IP-diefstal wat voortspruit uit die AUKUS-vennootskap
⦁ 'n Groeiende bedreiging vir CNI van afgeleë akteurs, soos die klopjag teen DP World
⦁ 'n Toename in losprysware en DDoS-aanvalle
⦁ Groot data-oortredings, insluitend groot name soos Optus, Medibank, Telstra en Latitude
⦁ Die snelheid waarmee nuwe kwesbaarhede uitgebuit word. Die ASD sê een uit elke vyf is binne 48 uur aangewend
Nie net het kubermisdaadverslae jaarliks met 23% gestyg nie, maar die koste van elke voorval is 14% hoër, sê die ASD.
Wat is in die kuberstrategie?
Die Australiese kuberveiligheidstrategie bestaan uit ses "kuberskilde" wat die volgende gebiede dek:
1) Ondersteuning van SMB's en burgers om kuberveiligheid te versterk
2) Verbetering van die veiligheid van tegnologie vir Australiërs
3) Die skep van 'n wêreldklas bedreiging deel en blokkeer netwerk
4) Beskerming van kritieke infrastruktuur
5) Verbetering van die binnelandse kuberveiligheidsbedryf en arbeidsmag
6) Die verskaffing van veerkragtige streeks- en globale leierskap
Elkeen van hierdie skilde bevat verskeie aksie-items wat in die regering s'n gelys word Plan van aksie. Vanuit 'n inligtingsekuriteitsperspektief is die belangrikste dele van die strategie skilde 1-4. Dit sluit regeringsplanne in om:
Skild 1:
⦁ Skep gesondheidsondersoeke en leiding vir SMB's
⦁ Werk saam met die industrie om mede-ontwerp 'n geen-aanspreeklikheid ransomware verslagdoening verpligting vir besighede
⦁ Voorsien die industrie van inligting oor kuberbestuursverpligtinge onder huidige regulasie
Skild 2:
⦁ Werk saam met die industrie om 'n verpligte kuberveiligheidstandaard en vrywillige etiketteringskema saam te ontwerp
⦁ Mede-ontwerp 'n vrywillige sekuriteitspraktykkode vir toepassingwinkels en toepassingsontwikkelaars
⦁ Ontwikkel 'n raamwerk om nasionale veiligheidsrisiko's wat deur verskafferprodukte en -dienste aangebied word, te assesseer
⦁ Ontwikkel opsies om Australië se mees sensitiewe en kritieke datastelle te beskerm, wat nie behoorlik beskerm word onder bestaande regulasies
⦁ Sluit kuberveiligheid in om te verseker dat KI veilig en verantwoordelik ontwikkel en gebruik word
⦁ Stel standaarde vir post-kwantum kriptografie
Skild 3:
⦁ Bedryfsdeelname aan bedreigingdeelplatforms aanmoedig
⦁ Moedig bedreigingsblokkering regoor die ekonomie aan, veral in CNI-firmas soos telco's en ISP's
Skild 4:
⦁ Stel telco's in lyn met dieselfde standaarde as ander CNI-entiteite
⦁ Verduidelik die regulering van bestuurde diensverskaffers
⦁ Inkorporeer kuberregulering in lugvaart- en maritieme sektore
⦁ Beskerm die CNI-verskaffers se kritieke data
⦁ Aktiveer verbeterde kuberveiligheidsverpligtinge vir “Stelsels van nasionale betekenis”
⦁ Finaliseer 'n voldoeningsmonitering- en -evalueringsraamwerk vir CNI
⦁ Brei krisisreaksiereëlings uit
⦁ Versterk die kubervolwassenheid van staatsdepartemente en -agentskappe, insluitend geen vertroue
⦁ Wys 'Stelsels van regeringsbelang' aan wat met 'n hoër vlak van kuberveiligheid beskerm moet word
⦁ Voer nasionale kuberveiligheidsoefeninge regoor die ekonomie uit
⦁ Bou speelboeke vir insidentreaksie
Wat moet Australiese organisasies doen?
Alhoewel die mees voorskriftelike vereistes vir CNI-firmas en tegnologieverskaffers is, is daar 'n paar vinnige oorwinnings waarvoor organisasies van alle soorte kan soek, volgens Jacqueline Jayne, APAC-sekuriteitsbewusmakingsadvokaat by KnowBe4.
"Die grootste leemte is om menslike foute aan te spreek, en dit is wêreldwyd konsekwent," sê sy aan ISMS.online. "Implementeer dus 'n deurlopende, relevante en innemende sekuriteitsbewusmakingsprogram wat 'n geleentheid insluit om daardie nuwe kennis toe te pas met gesimuleerde sosiale ingenieursaktiwiteite."
Ander maklik bereikbare beste praktyke sluit in die aanskakel van multifaktor-verifikasie (MFA) en die ontplooiing van wagwoordbestuurders vir sterk, unieke wagwoorde, asook om te verseker dat outomatiese opdaterings aangeskakel word, en data word gereeld vanlyn gerugsteun. "Irrelevante of verouderde data" moet ook wees bestuur "gepas" om risikoblootstelling te verminder, voeg sy by.
Vir Inversion6 CISO Damir Brescic, moet die eerste aanlooppoort vir Australiese organisasies 'n risiko-evaluering wees om 'n basislyn te vestig vir die identifisering en prioritisering van bedreigings. Enkripsie van sensitiewe data, netwerksegmentering om die verspreiding van aanvalle te beperk, insidentreaksiebeplanning, deurlopende monitering/ontleding van sekuriteitslogboeke, en die nakoming van die toegangsbeleid van die minste voorreg is ook belangrik, voeg hy by.
"As 'n organisasie hul algehele postuur vir kuberveiligheid wil verbeter, begin met 'n aantal verbeterings en doen 'n jaarlikse oorsig om te verseker dat jou algehele postuur aanhou verbeter en volwasse word," sê hy aan ISMS.online.
Nozomi Networks se tegniese ondersteuningsdirekteur, Marty Rickard, waarsku teen die gevare van "skadu"-toestelle wat dalk onbestuur en ongelap kan wees. "Namate IoT-toestelle meer algemeen gebruik en aanvaar word, neem die risiko's wat daarmee verband hou, toe. Toestelle met swak of onbekende herkoms sal waarskynlik tot groter hoeveelhede en erns van kwesbaarhede en risiko's lei,” sê hy aan ISMS.online.
"Organisasies moet kyk na die implementering van sagteware-dokumente (SBOM's) en verskaffersekuriteitbestuursprosesse, nie net vir IoT-toestelle nie. Hierdie toestelle moet noukeurig gekies en ontplooi word in toepaslik beveiligde enklaves binne 'n organisasie se infrastruktuur om die blootstelling en potensiële gevolge van 'n onbekende kwesbaarheid wat uitgebuit word, te beperk.”
Hoe ISO 27001 en beste praktykraamwerke kan help
Baie van die bogenoemde advies stem ooreen met die aanbevelings van die ASD's Strategieë om kuberveiligheidsvoorvalle te versag. Die Essensiële Agt is 'n afgekorte lys wat meer hanteerbaar sal wees vir kleiner organisasies en dié laer af op die kuber-volwassenheidskaal.
Groter organisasies kan egter ook baat vind by die voldoening aan ISO 27001. Hierdie wêreldwyd erkende standaard stel die vereistes vir 'n inligtingsekuriteitbestuurstelsel (ISMS) uiteen. Voldoening kan help om die basislynsekuriteit te verbeter en versekering te bied dat kritieke bates beskerm word oor 93 kontroles wat gegroepeer is onder organisatories, mense, fisies en tegnologies.
"Australiese besighede het ondersteuning nodig om teen algemene bedreigings te verdedig en hul kubervertroue te ontwikkel," argumenteer CyberSmart se uitvoerende hoof, Jamie Akhtar. “Standaarde soos ISO 27001 kan hulle help om dit te doen deur hulle toe te laat om ’n kultuur van voortdurende verbetering vir hul kuberveiligheidspraktyke te bou – wat hulle en Australië uiteindelik beter toegerus maak om kuberbedreigings te bekamp.”
As die regering sy “wêreldleidende” ambisies gaan haal, sal Australiese organisasies proaktief moet raak om kuberrisiko te versag. Bedryfsraamwerke en -standaarde kan 'n belangrike bondgenoot op hierdie reis wees.
“Of dit nou ISO 27001-nakoming, die Essential Eight, NIST of enige ander raamwerk is, elke organisasie moet die mees geskikte een vind wat by hul organisasie aansluit,” sluit KnowBe4 se Jayne af.
