Hvordan kan disse australske sikkerhedsinitiativer hjælpe din virksomhed?
Indholdsfortegnelse:
I de senere år har australske organisationer stået over for en eskalerende bølge af cybertrusler, understreget af højprofilerede databrud og sofistikerede cyberangreb. Denne bekymrende tendens fremhæver det kritiske behov for robuste cybersikkerhedsforanstaltninger. Gå ind i det australske cybersikkerhedscenter (ACSC). Essential Otte og Department of Education, Skills and Employment (DESE)'s Right Fit for Risk (RFFR) ramme.
Disse tjener som en hjørnesten for cybersikkerhedsforsvar, der styrker den albanske regerings initiativer, der sigter mod at forbedre den nationale cyberresiliens. De kan dog ses som et supplement til snarere end en erstatning for den internationale standard ISO 27001.
Forståelse af rammerne
The Essential Eight er et sæt strategier, der har til formål at give organisationer en grundlæggende cybersikkerhedsposition. Disse er designet til at afbøde forskellige cybertrusler og understreger vigtigheden af proaktive foranstaltninger såsom applikationskontrol, patching, begrænsning af administrative privilegier, multi-factor authentication (MFA) og regelmæssig backup.
Ifølge Edward Farrell, administrerende direktør og hovedkonsulent hos Mercury Information Security Services, stammer Essential Eight fra en analyse af de grundlæggende årsager til cyberindtrængen gennem næsten et årti.
"Det var oprindeligt de fire bedste, der udgjorde en del af de 35 afbødninger for at håndtere cyberindtrængen," siger Farrell til ISMS.online. "I dag er det indbygget i Essential Eight, som handlede om et væld af nye angreb, som de så. Så ting som Office-makroer, brud på MFA, brud på brugernavn og adgangskode-legitimationsoplysninger gennem gættet adgangskode og problemer med Java og Flash, såvel som de andre ting."
RFFR supplerer Essential Eight ved at tilbyde en mere skræddersyet tilgang til styring af cybersikkerhedsrisici. Den fokuserer på at forstå og adressere specifikke sårbarheder i en organisation, hvilket fremmer en kultur med løbende forbedringer og risikostyring. Sammen hjælper disse regeringsinitiativer organisationer til ikke kun at beskytte mod kendte trusler, men også at tilpasse sig og reagere på nye udfordringer, efterhånden som de opstår, hvilket sikrer en robust cybersikkerhedsposition i forhold til trusler, der udvikler sig.
Overtrædelser i massevis
En nylig bølge af databrud i Australien understreger den eskalerende udfordring, som indenlandske organisationer står over for. An Den australske informationskommissærs rapport for januar til juni 2023 afslørede i alt 409 brud, hvilket viste et lille fald i forhold til den foregående periode, men understreger den vedvarende trussel, hvor ondsindede eller kriminelle angreb tegner sig for 70 % af disse hændelser. Sundheds- og finanssektoren dukkede op som de største ofre.
Ingen organisation er imidlertid sikret mod potentielle kompromiser i dag. Bemærkelsesværdige nylige hændelser omfatter et brud på Woolworths datterselskab MyDeal, der påvirker anslået 2.2 millioner kunder, og hændelser, der påvirker enheder som Nissan, Wollongong University, Boeing, Sony, Duolingo, Pizza Hut og DP World Australia. Disse spændte fra ransomware-angreb og dataskrabning til tyveri af følsomme kunde- og medarbejderoplysninger.
Mangfoldigheden og hyppigheden af disse hændelser understreger vigtigheden af at implementere robuste cybersikkerhedsforanstaltninger som Essential Eight og RFFR for at opbygge modstandsdygtighed over for stigende cyberrisiko.
Den albanske regerings cybersikkerhedsfremstød
Som reaktion på det udviklende trussellandskab har den albanske regering taget væsentlige skridt for at styrke nationens cybersikkerhed – bl.a. en ny national cybersikkerhedsstrategi.
Farrell foreslår dog behovet for en mere nuanceret strategi, der er skræddersyet til de unikke behov hos specifikke australske organisationer og sektorer.
"Virkeligheden er, at vi lavede små virksomheders cybersundhedstjek tilbage i 2018 ... og de tog virkelig ikke fart," argumenterer han.
Essential Eight vs. ISO 27001
The Essential Eight fokuserer på praktiske strategier til at afbøde cybersikkerhedshændelser, specielt skræddersyet til at bekæmpe almindelige cybertrusler. Dens ligetil, handlingsrettede foranstaltninger er designet til øjeblikkelig implementering, og dækker aspekter som applikationshvidliste, patching af applikationer og begrænsning af administrative rettigheder. Det er særligt effektivt for organisationer, der leder efter klare, direkte retningslinjer for at forbedre deres modstandsdygtighed over for cybersikkerhed.
ISO 27001 giver på den anden side en omfattende ramme for styring af informationssikkerhed gennem et Information Security Management System (ISMS). Det tilbyder en holistisk tilgang til informationssikkerhed, ikke begrænset til cybertrusler, men som omfatter alle former for informationssikkerhed. ISO 27001 kræver, at organisationer vurderer deres informationssikkerhedsrisici og implementerer passende kontroller, der er skræddersyet til deres specifikke behov. Denne standard lægger vægt på løbende forbedringer og overholdelse af et sæt specificerede krav.
RFFR vs. ISO 27001
RFFR er tættere på ISO 27001. Det tilskynder organisationer til at anvende en risikostyringstilgang, der er skræddersyet til deres specifikke operationelle kontekst. Det er tæt på linje med risikovurderings- og styringsprincipperne i ISO 27001, men er specifikt kontekstualiseret til det australske cybersikkerhedsmiljø. Mens ISO 27001 giver en bred ramme, der kan anvendes på tværs af forskellige industrier globalt, tager RFFR ingen hensyn til de unikke cybersikkerhedsrisici, som australske enheder står over for.
En bredere tilgang
Australske organisationer rådes til at integrere Essential Eight, RFFR og ISO 27001 for en velafrundet cybersikkerhedsstrategi.
"Frameworks er fantastiske, hvis det er et meget pænt, ryddeligt miljø ... mens jeg tror, at kontekstuelle ændringer og forståelsen af det domæne, du opererer i, vil variere hver gang," argumenterer Farrell.
Han fremhæver vigtigheden af tilpasningsevne. Og behovet for, at organisationer ikke kun implementerer grundlæggende sikkerhedsforanstaltninger leveret af Essential Eight, men også de bredere styrings- og risikostyringsaspekter af ISO 27001 og de kontekstualiserede risikostrategier i RFFR.
Implementering af rammerne
Implementering af cybersikkerhedsinitiativer som Essential Eight, RFFR og ISO 27001 kan være kompleks, men en fokuseret tilgang hjælper med at navigere i udfordringer. Ifølge Phillip Ivancic, APAC-chef for løsninger hos Synopsys Software Integrity Group, er en af de største forhindringer opretholdelsen af en kultur, hvor sikkerhedskontrol konsekvent anvendes, selv når det er ubelejligt.
"The Essential Eight anbefaler selv grundlæggende trin som at vedligeholde patching, begrænse administrativ adgang og sikre, at sikkerhedskopier vedligeholdes og testes. Alle tilsyneladende enkle og fornuftige kontroller. Men når man taler med kunderne, er den største udfordring, de står over for, at opretholde en kultur med at køre disse kontroller dag ud og dag ind,” siger han til ISMS.online.
“Medarbejdere skal forstå deres betydning, og der skal være en kultur, der holder disse grundlæggende kontroller på plads, selv når de ikke er praktiske. Det er simpelthen ikke et 'engangs' stykke arbejde, men en ramme for løbende discipliner."
At omsætte ting som Essential Eight og ISO 27001 i praksis kræver at navigere i udfordringer som ressourceallokering, integration med nuværende systemer, udviklende trusler og fremme medarbejdernes bevidsthed. For at gøre dette bør organisationer udføre grundige risikovurderinger for at sætte prioriteter, allokere tilstrækkelige ressourcer, vedtage en trinvis tilgang til at håndtere kompleksitet, dyrke en sikkerhedsbevidst kultur og regelmæssigt opdatere sikkerhedspraksis for at imødegå nye trusler.
"For større organisationer er automatisering af sårbarhedsstyring gennem Application Security Posture Management (ASPM), hvor manuel penetrationstestresultater automatisk sammenlignes med scanningsværktøjer med prioriterede anbefalinger, den største trend blandt mine kunder," tilføjer Ivancic.
Ved at engagere ekstern ekspertise og udnytte automatisering til effektivitet, kan organisationer styrke deres cybersikkerhedsforsvar på en praktisk og bæredygtig måde. Løbende uddannelse er fortsat afgørende for at sikre, at alle medarbejdere forstår vigtigheden af sikkerhedskontrollen og er disciplinerede med hensyn til at opretholde dem konsekvent.
Fremtiden for australsk cybersikkerhed
Mens Australien navigerer i et trusselslandskab, der udvikler sig, forbliver initiativer som Essential Eight og RFFR og bedste praksis standarder såsom ISO 27001 hjørnestenene i en proaktiv tilgang til cybersikkerhed.
For at foregribe fremtidige regeringsinitiativer foreslår Farrell et skub i retning af "forbedring af samarbejdet mellem den offentlige og private sektor" og en betydelig investering i "cybersikkerhedsuddannelse og udvikling af arbejdsstyrken". Disse bestræbelser skulle bidrage til at forbedre deling af trusselsintelligens og information om sårbarheder og i sidste ende fremme et mere modstandsdygtigt cybersikkerhedsøkosystem i hele Australien.
Best practice rammer og standarder forventes også at udvikle sig i overensstemmelse med trusselslandskabet. Udfordringen vil som altid være at undgå at spille ind på cyberkriminalitetssamfundet.
