Hvad betyder den australske cybersikkerhedsstrategi for din virksomhed?
Indholdsfortegnelse:
Den australske regering mangler ikke ambitioner. Ved at lancere sin nye Cybersikkerhedsstrategi 2023-2030 i november hævdede det, at dokumentet ville give en køreplan for at blive "verdensleder" på området inden slutdatoen. Det har en lang vej at gå, givet en bølge af højprofilerede brud i løbet af de seneste par år.
Budskabet, det sender, er klart: For udbydere af kritisk infrastruktur (CNI) og teknologiproducenter vil der være nye forpligtelser designet til at hæve barren for cybersikkerhed. For almindelige virksomheder er der lovet support og klarhed beregnet til at hjælpe med at forbedre grundlæggende sikkerhedsstandarder.
Australske organisationer bør derfor se på den nye regeringsstrategi som en mulighed. De, der adresserer mangler i sikkerheden i dag, vil opdage, at de har mere tid i morgen til at fokusere på at vokse deres virksomhed frem for at bekymre sig om at opfylde myndighedernes krav. For dem, der ikke er omfattet af specifikke mandater, kunne det være et nyttigt øjeblik at gense og opdatere sikkerhedsstrategien.
Hvorfor har Australien brug for en ny cyberstrategi?
Australske organisationer er et stadig mere populært mål for statsstøttede og økonomisk motiverede trusselsaktører. Det australske signaldirektorat (ASD) fordringer at der i løbet af regnskabsåret 2022-23 blev lavet næsten 94,000 anmeldelser til retshåndhævelsen gennem ReportCyber. Det svarer til et hvert sjette minut - selvom mange flere sandsynligvis vil være blevet urapporteret. Det fremhæver flere udfordringer:
⦁ Statslige aktører, der målretter regerings- og CNI-aktiver for spionage og forstyrrelser – især potentielt IP-tyveri, der stammer fra AUKUS-partnerskabet
⦁ En voksende trussel mod CNI fra eksterne aktører, såsom razziaen mod DP World
⦁ En stigning i ransomware og DDoS-angreb
⦁ Store databrud, herunder store navne som Optus, Medibank, Telstra og Latitude
⦁ Den hurtighed, hvormed nye sårbarheder bliver udnyttet. ASD siger, at en ud af fem blev udnyttet inden for 48 timer
Ikke alene er cyberkriminalitetsrapporter steget med 23 % årligt, men omkostningerne ved hver hændelse er steget med 14 %, siger ASD.
Hvad er der i cyberstrategien?
Den australske cybersikkerhedsstrategi består af seks "cyberskjolde", der dækker følgende områder:
1) Støtte SMB'er og borgere til at styrke cybersikkerheden
2) Forbedring af teknologisikkerheden for australiere
3) Oprettelse af et trusselsdelings- og blokeringsnetværk i verdensklasse
4) Beskyttelse af kritisk infrastruktur
5) Forbedring af den indenlandske cybersikkerhedsindustri og arbejdsstyrke
6) At yde robust regional og global ledelse
Hvert af disse skjolde indeholder forskellige handlingspunkter, der er opført i regeringens Handlingsplan. Fra et informationssikkerhedsperspektiv er de vigtigste dele af strategien skjold 1-4. De omfatter regeringens planer om at:
Skjold 1:
⦁ Opret sundhedstjek og vejledning til SMB'er
⦁ Arbejd sammen med industrien for at co-designe en ransomware-rapporteringspligt uden ansvar for virksomheder
⦁ Give industrien oplysninger om cyberforvaltningsforpligtelser i henhold til gældende regulering
Skjold 2:
⦁ Samarbejde med industrien om at co-designe en obligatorisk cybersikkerhedsstandard og frivillig mærkningsordning
⦁ Co-design en frivillig sikkerhedskodeks for app-butikker og app-udviklere
⦁ Udvikle en ramme til at vurdere nationale sikkerhedsrisici, som sælgers produkter og tjenester udgør
⦁ Udvikle muligheder for at beskytte Australiens mest følsomme og kritiske datasæt, som ikke er passende beskyttet i henhold til eksisterende regler
⦁ Integrer cybersikkerhed for at sikre, at AI udvikles og bruges sikkert og ansvarligt
⦁ Sæt standarder for post-kvantekryptering
Skjold 3:
⦁ Tilskynd industriens deltagelse i trusselsdelingsplatforme
⦁ Tilskynd til trusselsblokering på tværs af økonomien, især i CNI-virksomheder som teleselskaber og internetudbydere
Skjold 4:
⦁ Juster teleselskaber efter de samme standarder som andre CNI-enheder
⦁ Tydeliggør reguleringen af administrerede tjenesteudbydere
⦁ Indarbejde cyberregulering i luftfarts- og maritime sektorer
⦁ Beskyt CNI-udbydernes kritiske data
⦁ Aktiver forbedrede cybersikkerhedsforpligtelser for "systemer af national betydning"
⦁ Færdiggør en overholdelsesovervågnings- og evalueringsramme for CNI
⦁ Udvid kriseberedskabsordninger
⦁ Styrke cybermodenheden af offentlige departementer og agenturer, herunder nul tillid
⦁ Udpeg 'systemer af regeringsmæssig betydning', der skal beskyttes med et højere niveau af cybersikkerhed
⦁ Gennemfør nationale cybersikkerhedsøvelser på tværs af økonomien
⦁ Byg spillebøger til hændelsesreaktion
Hvad bør australske organisationer gøre?
Mens de mest præskriptive krav er til CNI-virksomheder og teknologiudbydere, er der nogle hurtige gevinster, som organisationer af alle typer kan vinde efter, ifølge Jacqueline Jayne, APAC-fortaler for sikkerhedsbevidsthed hos KnowBe4.
"Det største hul er at adressere menneskelige fejl, og dette er konsekvent globalt," siger hun til ISMS.online. "Så implementer et løbende, relevant og engagerende sikkerhedsbevidsthedsprogram, der inkluderer en mulighed for at anvende den nye viden med simulerede sociale ingeniøraktiviteter."
Andre nemme at opnå bedste praksis omfatter aktivering af multifaktorgodkendelse (MFA) og implementering af adgangskodeadministratorer til stærke, unikke adgangskoder samt sikring af, at automatiske opdateringer er slået til, og at data sikkerhedskopieres regelmæssigt offline. "Irrelevante eller forældede data" bør også være lykkedes "hensigtsmæssigt" for at minimere risikoeksponering, tilføjer hun.
For Inversion6 CISO Damir Brescic bør den første anløbshavn for australske organisationer være en risikovurdering for at etablere en baseline for identifikation og prioritering af trusler. Kryptering af følsomme data, netværkssegmentering for at begrænse spredningen af angreb, hændelsesresponsplanlægning, kontinuerlig overvågning/analyse af sikkerhedslogfiler og overholdelse af adgangspolitikken med mindst privilegium er også vigtigt, tilføjer han.
"Hvis en organisation ønsker at forbedre deres overordnede cybersikkerhedsposition, så start med en række forbedringer og lav en årlig gennemgang for at sikre, at din overordnede holdning fortsætter med at forbedre og modnes," siger han til ISMS.online.
Nozomi Networks tekniske supportdirektør Marty Rickard advarer om farerne ved "skygge"-enheder, som kan være uadministreret og ikke-patchet. "Efterhånden som IoT-enheder bliver mere udbredt og accepteret, øges de risici, der er forbundet med dem. Enheder med dårlig eller ukendt herkomst vil sandsynligvis resultere i større mængder og sværhedsgrader af sårbarheder og risici,” siger han til ISMS.online.
"Organisationer bør se på at implementere softwarestyklister (SBOM'er) og leverandørsikkerhedsstyringsprocesser, ikke kun for IoT-enheder. Disse enheder bør vælges omhyggeligt og installeres i passende sikrede enklaver inden for en organisations infrastruktur for at begrænse eksponeringen og potentielle virkninger af en ukendt sårbarhed, der udnyttes."
Hvordan ISO 27001 og Best Practice Frameworks kan hjælpe
Mange af ovenstående råd stemmer overens med anbefalingerne fra ASD'erne Strategier til at afbøde cybersikkerhedshændelser. Det Essential Otte er en nedskæret liste, som vil være mere overskuelig for mindre organisationer og dem, der er lavere på cyber-modenhedsskalaen.
Større organisationer kan dog også drage fordel af overholdelse af ISO 27001. Denne globalt anerkendte standard angiver kravene til et informationssikkerhedsstyringssystem (ISMS). Overholdelse kan hjælpe med at forbedre basissikkerheden og give forsikringer om, at kritiske aktiver er beskyttet på tværs af 93 kontroller grupperet under organisatorisk, mennesker, fysisk og teknologisk.
"Australske virksomheder har brug for støtte både for at forsvare sig mod almindelige trusler og udvikle deres cybertillid," argumenterer CyberSmart CEO, Jamie Akhtar. "Standarder som ISO 27001 kan hjælpe dem med at gøre dette ved at give dem mulighed for at opbygge en kultur med løbende forbedringer af deres cybersikkerhedspraksis - hvilket i sidste ende gør dem og Australien bedre rustet til at bekæmpe cybertrusler."
Hvis regeringen skal opfylde sine "verdensledende" ambitioner, bliver australske organisationer nødt til at være proaktive med hensyn til at afbøde cyberrisiko. Brancherammer og standarder kan være en vigtig allieret på denne rejse.
"Uanset om det er ISO 27001 compliance, Essential Eight, NIST eller en hvilken som helst anden ramme, skal enhver organisation finde den mest passende, der stemmer overens med deres organisation," konkluderer KnowBe4s Jayne.
