Siber Güvenlik NSW, düzenli olgunluk ve uyumluluk denetimlerini sektördeki güvenliği artırmanın etkisiz bir yolu olarak görerek, konseylerin güvenliğinin değerlendirilme şeklini hedef aldı.
Ajansın yorumları düzenli bir denetimin yayınlanmasının ardından geldi [pdf] Bir konsey örneği ve bunların siber güvenlik duruşları ve uygulamaları.
Konseyler “zorunlu siber güvenlik gerekliliklerine” tabi değildir ancak “güçlü siber güvenlik uygulamalarının temeli olarak” NSW Siber Güvenlik Politikasına uymaları “tavsiye edilir”.
Son denetim, üç NSW konseyine odaklandı ve bu konseylerin “bilgi ve varlıkların güvenliğine yönelik hafifletilmemiş risklere” sahip olduklarını ve konseylerin “siber güvenlik risklerini etkili bir şekilde tanımlayıp yönetmediklerini” tespit etti.
Art arda gelen eleştiriler arasında, üç konseyin (Parramatta Şehri, Singleton Konseyi ve Warrumbungle Shire Konseyi) süreklilik planlarından, uygun şekilde atanan sorumluluklardan veya tehdit tespitinden yoksun olduğu ortaya çıktı.
Bu tür eleştiriler, denetçinin önceki raporlarını yansıtıyor ve konseyin siber güvenliğine yönelik eleştiriler yıllık bir olaydır.
Ancak yerel yönetim sektöründe siber güvenliğin arttırılmasında kolaylaştırıcı bir rol oynayan Cyber Security NSW, düzenli denetimleri amaca yararlı olmadığı ve potansiyel olarak sınırlı kaynakları denetimi tatmin etmeye yönlendirdiği için eleştirdi.
Cyber Security NSW, bir ek mektubunda, “Bütünsel siber dayanıklılığı teşvik etmek için, olgunluk düzeylerine ve uyumluluğa tek bir odaklanmanın ötesine geçmek ve bunun yerine bir kuruluşun benzersiz risk profilini ve uygun risk azaltma stratejilerini dikkate almak kritik öneme sahiptir.” dedi.
“Doğrusal bir süreç olarak katı bir olgunluk anlayışı, kaynakların, finansmanın ve çabaların anlamlı ve hedeflenen bir yükselişe önceliklendirilmesini desteklemek için çok az şey yapar.”
Son denetimde konseyler, raporda dile getirilen sorunları halihazırda ele aldıklarını belirtti; Parramatta Şehri bulguların “programla tutarlı olduğunu” söyledi [it] Warrumbungle Shire Konseyi “bazı süreçlerin mevcut olduğunu” ancak iyileştirmeye yönelik “belgelenmiş bir yaklaşıma” sahip olmadığını söylerken, siber güvenlik pozisyonunu iyileştirmeyi benimsedi”.
Siber Güvenlik NSW, özellikle yerel yönetim sektöründe siber güvenliği iyileştirmeye odaklanan bir dizi aktif girişimi sıraladı.
Konseylere siber riski yönetmelerine yardımcı olacak “geniş bir ürün ve hizmet yelpazesi” sundu; E-posta kimlik doğrulaması için “128 konseyin tamamını Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) projesine dahil etti”; ve tüm konseylerin “yarısından fazlasının” farkındalık eğitimine tabi tutulması.
Tüm konseyler ayrıca istihbarat raporları ve haftalık güvenlik açığı tarama raporları aldı ve konseyleri, oluşturduğu “güvenlik açığı risk yönetimi platformuna” dahil etme sürecinde.
“[We are] Cyber Security NSW, eğitim ve konseylere erişim sağlama sürecinde” diye yazdı.
“Bu, tüm konseylerin platformu kullanacak teknik kaynaklara sahip olmaması nedeniyle kademeli aşamalarda gerçekleşiyor.”