Federal hükümet, 2030 yılına kadar Avustralya kamu hizmetlerinde “sıfır güven kültürünün” yerleşik hale getirilmesi yönünde iddialı bir hedef belirledi.
Revize edilen siber güvenlik stratejisinde [pdf]Çarşamba günü yayınlanan raporda hükümet ayrıca, olaylara müdahalede daha iyi bilinen sorumluluklarına ek olarak, ulusal siber güvenlik koordinatörünün görev alanını tüm hükümetin siber güvenliğinin iyileştirilmesine liderlik edecek şekilde genişleteceğini de söyledi.
Strateji, hükümetin endüstriye yüksek siber güvenlik gereklilikleri dayatmakla meşgul olmasına rağmen kendi standartlarının buna ayak uyduramadığını açıkça ortaya koyuyor.
Stratejide, “Avustralya hükümetinin sanayiye dayattığı standartların aynısını uygulaması gerekiyor” ifadesine yer veriliyor.
Avustralya kamu hizmetinde (APS) bir “sıfır güven kültürü” oluşturma taahhüdünün çok az ayrıntısı var ancak kimlik doğrulama ve ayrıcalıklı erişim yönetimi konularında iyileştirmelerin mümkün olabileceğini öne sürüyor.
Bu konudaki çalışmaların önümüzdeki iki yıl içinde başlaması bekleniyor; Stratejinin bitiş tarihine ulaşmak için 2030 yılına kadar yatışılması gerekecek.
Hükümet eylem planında şunları söyledi: [pdf] “hükümet verilerini ve dijital varlıkları korumak için devletin tamamını kapsayan bir sıfır güven kültürü” istediğini söyledi.
“Hükümet, ağlarımızda uluslararası kabul görmüş sıfır güven yaklaşımlarından yararlanan tanımlanmış kontroller uygulayacak” diye yazdı.
“Bu, ASD’nin siber güvenlik olaylarını azaltmaya yönelik Temel Sekiz stratejisi kapsamında oluşturulan en iyi uygulama ilkelerine dayanıyor.”
Bu arada, ulusal siber güvenlik koordinatörü (şu anda Hamish Hansford) tarafından yönetilecek olan “tüm hükümet siber güvenlik iyileştirmesi”, “Commonwealth departmanları ve kurumları genelinde siber olgunluğun uygulanması ve raporlanmasını” kapsayacak.
Koordinatörden eş zamanlı olarak eyalet, bölge ve yerel yönetim düzeylerinde siber olgunluğu benzer şekilde artırmaya çalışması isteniyor.
Koordinatör ve konseyler arasındaki katmanlar dikkate alındığında bu özellikle iddialıdır; yerel yönetim görevlerine sahip devlet temelli kurumlar bile konsey düzeyinde değişiklik yapmakta zorlandı.
Ancak federal hükümet, kamu sektörü genelinde siber güvenlik duruşundaki tüm potansiyel zayıflıkları ele almak istiyor.
“Temel işlevlerinin bir parçası olarak Commonwealth, eyalet, bölge ve yerel yönetimlerin tümü toplumumuza temel hizmetleri sağlıyor. Stratejide, ulusumuzun dijital altyapısının kritik bir parçasını oluşturuyorlar” ifadelerine yer verildi.
Ayrıca federal hükümet için, devlet kurumlarının “Temel Sekizli” güvenlik kontrollerine karşı olgunluklarını artırmalarını destekleyecek bir “dahili siber güvenlik programı ve güvence işlevi” de masada.
Tarafından bildirildiği gibi iTnewsGeçen yıl daha fazla sayıda federal kuruluş olgunluğa ulaştı ancak yüzde genel olarak hala nispeten düşük.
Hükümet, ajansların daha fazla olgunluk incelemesi sözü verdi.
Aynı zamanda, daha yüksek güvenlik standartlarıyla korunması gereken “hükümet açısından önemli sistemleri” de belirleyecektir; bu, şu anda endüstri için bir gerekliliktir, ancak hükümetin kendisi için geçerli değildir.
Ayrıca APS’nin siber becerilerini artırma niyeti de var ancak bu konuda daha fazla ayrıntı verilmedi.