Eyalet denetçisinin yaptığı bir analize göre, siber riskleri kabul edilebilir seviyelerin dışında olan NSW hükümet kurumları, bunları dizginlemek için son tarihler belirlemedi.
Bir düzineden fazla kurumun, kendi değerlendirdikleri yüksek risk profillerini çözmek için açık uçlu zaman dilimleri vardı.
Bir avuç kurum siber güvenlik iyileştirmelerini finanse etmedi veya eğitim uygulamadı.
Bu arada, “yüksek riskli” olarak değerlendirilen personele ek siber güvenlik farkındalığı eğitimi verilmedi.
Bulgular yıllık denetimden geliyor [pdf] Düzenli olarak kontrol eksikliklerini tespit eden düzinelerce NSW devlet kurumunda BT ve diğer kontroller mevcuttur.
Denetim, NSW’nin 2019’da yürürlüğe giren ve dijital bilgi güvenliği politikasının yerini alan siber güvenlik politikasının bir parçasını oluşturuyor.
Politika, kurum başkanının, kurumun her yıl siber riskleri nasıl değerlendirdiğini ve yönettiğini göstermesini gerektiriyor.
Denetim kapsamında incelenen kurumların çoğunluğu, siber güvenlik risklerinin kendi risk iştahlarının üzerinde olduğunu değerlendirdi.
Raporda, “Benzer çerçevelere rağmen kurumlar, risklerin nasıl tanımlanacağı ve kaydedileceği konusunda farklı yorumlarda bulundu” ifadesine yer verildi.
“Kurumların büyüklüğü ve karmaşıklığı nedeniyle bazı farklılıklar beklense de risk kayıtlarının, bilinen tüm güvenlik açıklarının veya potansiyel olayların ve olayların nedenlerinin basit bir listesi yerine, karar almayı bilgilendirecek ve destekleyecek bir düzeyde olması gerekir.”
Bir konuyu finanse etmek
Haziran 2023 itibarıyla, incelenen kurumların hiçbiri Temel Sekiz’e veya devlet tarafından hazırlanan siber güvenlik politikasına göre hedeflenen olgunluk düzeyine ulaşamamıştı.
20.000’den fazla personel çalıştırdığı ve “kamuya önemli hizmetler” getirdiği açıklanan bir kurumun bir siber iyileştirme planı var ancak bunu uygulamak için fon yok.
On yedi (17) kurumun Aralık 2024 ile Haziran 2027 arasında tamamlanması beklenen mevcut siber güvenlik iyileştirme planlarına sahip olduğu söylendi.
Yönetişim, operasyonlar ve soruşturmalar da dahil olmak üzere siber güvenlik operasyonlarına yönelik finansman, bireysel kurumlar için 250.000 ila 47,3 milyon dolar arasında değişiyordu.
Bu arada, fon tahsis eden kurumlar, iyileştirme programlarına 100.000 ila 49 milyon dolar arasında harcama yapıyor.
Tarafından bildirildiği gibi iTnewsDenetim aynı zamanda NSW kurumlarının ayrıcalıklı erişim yönetimindeki boşlukları da ortaya çıkardı.