Coğrafi Odak: Asya, Coğrafi Özel, Yönetişim ve Risk Yönetimi
AUSTRAC, Services Australia’ya Olay Müdahale Planlarındaki Kritik Açıkları Düzeltmeyi Söyledi
Jayant Chakravarti (@JayJay_Tech) •
17 Haziran 2024
Avustralya Ulusal Denetim Ofisi, ülkenin mali suçlar gözlemcisinin ve milyonlarca vatandaşa yönelik sosyal hizmet sağlayıcısının siber güvenlik olaylarını soruşturma, izleme ve bunlara yanıt verme konusunda “kısmen etkili” yeteneklere sahip olduğunu söyledi.
Ayrıca bakınız: FedRAMP ve StateRAMP’ı Anlamak
Hükümet denetim kurumu, Avustralya İşlem Raporları ve Analiz Merkezi ve Hizmetleri Avustralya’nın, operasyonlardaki kesintileri azaltmak için olay yönetimi prosedürlerini tasarlama ve uygulama veya etkili olay yönetimi kurtarma uygulamalarını uygulama konusunda orta düzeyde bir yetenek sergilediğini söyledi.
AUSTRAC, federal hükümetin kara para aklama ve terörle mücadele finansmanı düzenleyicisi ve mali istihbarat birimidir. Finans, kumar, külçe, havale ve dijital para bozdurma hizmetleri sağlayan 17.000’den fazla işletmeyi düzenlemektedir. Services Australia, milyonlarca vatandaşa Medicare, nafaka ve Sosyal Güvenlik ödemeleri ve hizmetleri sağlamaktadır.
ANAO, iki hükümet organının siber güvenlik olay yönetimi ve müdahale prosedürlerine sahip olduğunu, ancak temel kamu hizmetlerinin sağlanmasını desteklemek için Avustralya’nın en hassas verilerinden bazılarını işleyip saklarken “siber örnekler” haline gelmek için hala kat etmeleri gereken mesafelerin olduğunu söyledi.
ANAO, iki kurumun siber güvenlik uygulamalarını ve prosedürlerini, hükümetin hükümet kurumlarının siber direncini artırmaya yönelik bir tahmin yaklaşımını zorunlu kılan 2023-30 Avustralya Siber Güvenlik Stratejisi’nde belirtildiği şekilde hazır olup olmadıklarını belirlemek için denetlediğini söyledi.
Hükümet, Avustralya’yı bu on yılın sonuna kadar “siber güvenlikte dünya lideri” haline getirmek amacıyla stratejiye 587 milyon Avustralya Doları harcamayı planlıyor (bkz: Avustralya, Siber Suçları Yenmeye Yönelik 587 Milyon Avustralya Doları Stratejisini Açıkladı).
Hükümet denetimi, Services Australia’nın bir olay müdahale planı ve bir prosedür çerçevesi tasarladığını ancak tehdit ve güvenlik açığı değerlendirmelerine yönelik belgelenmiş bir yaklaşımdan ve siber güvenlik olay yönetimini kapsayacak bir politikadan yoksun olduğunu ortaya çıkardı.
Ajans, Sosyal Güvenlik ve Medicare ödeme sağlayıcısının bir güvenlik bilgisi ve olay yönetimi çözümü ile uyarıları izlemek ve önceliklendirmek için bir yaklaşım uyguladığını ancak önceliklendirme ve yükseltme faaliyetleri için bir zaman çerçevesi, arşivlenmiş SIEM verilerini analiz edecek bir süreç ve bir yaklaşımdan yoksun olduğunu söyledi. Siber güvenlik araştırmaları için.
ANAO ayrıca Service Australia’nın veri yedekleme ve kurtarma stratejisinde de ciddi boşluklar buldu. Kurumun olay sonrası kesintileri azaltmak için kısmen bir kurtarma süreci uyguladığını ve iş sürekliliği ve felaket kurtarma planlarını hayata geçirdiğini ancak planlarının “kritik iş süreçlerini destekleyen tüm sistem ve uygulamaları içermediğini ve kurtarılabilirliği test etmediğini” söyledi. yedeklemelerden.”
Services Australia sözcüsü, Information Security Media Group’a ajansın ANAO’nun denetimini memnuniyetle karşıladığını, tavsiyeleri kabul ettiğini ve bunları olaylara müdahale etmeye yönelik politikalarını, süreçlerini ve prosedürlerini güçlendirmek için bir rehber olarak kullanacağını söyledi.
Sözcü, “ANAO’nun siber güvenlik olaylarına müdahale prosedürlerimizin büyük ölçüde etkili olduğu sonucuna varmasından memnunuz” dedi. “7/24 uyguladığımız siber güvenlik önlemlerimiz, milyonlarca Avustralyalının verilerini koruyor ve her yıl 1,1 milyardan fazla çevrimiçi işlemi güvenli bir şekilde gerçekleştirmemize yardımcı oluyor. En büyük önceliğimiz, BİT sistemlerimizin Avustralya toplumunun ihtiyaç ve beklentilerini karşılayacak şekilde sağlam ve güvenilir olmasını sağlamaktır. “
Ajans, güvenlik operasyonları merkezinin siber güvenlik açıkları ve risklerin yönetimine öncelik vermeye, etkili koruyucu güvenlik kontrolleri uygulamaya ve etkili tehdit tespiti ve güçlü yanıt yetenekleri aracılığıyla operasyonel esnekliği artırmaya devam ettiğini söyledi.
“Hükümet genelinde siber güvenlik açısından kritik noktalardan biriyiz ve odak alanlarımız ve yatırımlarımız Avustralya Hükümeti’nin Veri ve Dijital Hükümet Stratejisi ile uyumludur. Siber tehdit ortamına ilişkin istihbaratı Avustralya Siber Güvenlik Merkezi ve Avustralya Sinyalleri ile paylaşmaya devam edeceğiz. Müdürlüğü ve Siber Güvenlik Müdahale Koordinasyon Birimi” dedi.
ANAO ayrıca kara para aklamayı önleme gözlemcisi AUSTRAC’ın olaya hazırlık ve müdahale planlarında da birçok tutarsızlık buldu. Sorunlardan bazıları, kurumun bilgi güvenliği sorumlusuna verilen sorumlulukları ve siber güvenlik olay toplantılarını belgelemedeki başarısızlığı ve ilgili paydaşlara raporlama için zaman çerçevelerinin tanımlanamamasıdır.
Denetim ofisi ayrıca AUSTRAC’ın bir olay kayıt politikasına sahip olmadığını ve tüm siber güvenlik olaylarına ilişkin analizini belgelemediğini ve olay kurtarma süreçlerinin, yedekleme çözümlerinin veya sistemlerin, uygulamaların ve sunucuların güvenliğini ve testini dikkate almadığını tespit etti. Kritik iş süreçlerini destekleyin.