Home Affairs, Commonwealth teknoloji tedarikçileri için güvenlik inceleme prosedürlerini kolaylaştırıyor, ancak satıcılar için bir karşılık var: ‘güvenlik artık birinci sınıf olamaz’.
Brendan Dowling, İçişleri Bakan Yardımcısı Kritik Altyapı ve Koruyucu Güvenlik.
Bakanlık sekreteri Stephanie Foster, federal hükümet tedarikçilerinin kurumsal olmayan Commonwealth kuruluşlarına satış yaparken mükerrer risk değerlendirmelerine girmekten kaçınmalarına olanak tanıyacak yeni bir direktif yayınladı.
Bakanlık bunun yerine risk değerlendirmelerini, kurumların güvenlik değerlendirmelerini diğer kurumlarla etkili bir şekilde paylaşmasına olanak tanıyacak yeni bir merkezi yetenek aracılığıyla koordine edecek.
Bu aslında bir departmanın satıcı risk değerlendirmesini tamamlayabileceği ve bunu İçişleri aracılığıyla diğerlerinin kullanımına sunabileceği anlamına geliyor.
Yeni merkezi risk değerlendirmesi paylaşım planına katılıma her departmanın karar vereceği anlaşılmaktadır.
İçişleri ayrıca risk değerlendirmelerini hükümet daireleri ve kurumları genelinde daha tutarlı bir şekilde standartlaştırmak için bir “temel” oluşturacak.
Kritik altyapı ve koruyucu güvenlikten sorumlu İçişleri bakan yardımcısı Brendan Dowling şunları söyledi: iTnews hem satıcıların hem de devlet kurumlarının (özellikle küçük olanlar) bir süredir mevcut risk değerlendirme çerçevesiyle ilgili hayal kırıklığını dile getirdiğini belirtti.
Küçük kurumların destek için daha büyük departmanlardan yararlanmaya çalıştıklarını, tedarikçilerin ise Savunma gibi büyük bir departman için kendilerinden bir hafta zahmetli bir süreçten geçmelerinin istenmesini, ancak bir hafta sonra benzer güvenlik ihtiyaçları olan farklı ancak benzer büyüklükteki bir organizasyon için bu süreçten tekrar geçmek zorunda kalmalarını “biraz saçma” bulduklarını söyledi.
Ancak buna karşılık Dowling, hükümetin teknoloji satıcılarının güvenlik hususlarını ürün satış noktaları listesinin en üstüne koymalarını beklediğini söyledi.
Dowling, “Sektörlere şunu söylüyoruz, bu süreci sizin için daha verimli ve daha kolay erişilir hale getireceğiz, ancak ürünlerinizde güvenliğe öncelik vermenizi bekliyoruz, bunu sonradan akla gelen bir düşünce olarak değil, ürünlerinizin temel tasarım özelliği olarak önceliklendirin,” dedi.
“Yani evet, risk değerlendirme süreci daha kolay olacak, ancak aynı zamanda güvenlik açısından da karşılamanız gereken çok net bir çıta oluşturulacak.”
Foster, hükümetin, kurumsal olmayan Commonwealth kuruluşları (ABC, NBN Co ve Australia Post gibi kuruluşlar hariç olmak üzere tüm federal hükümet daireleri ve kurumları) için geçerli olan Koruyucu Güvenlik Politikası Çerçevesi (PSPF) kapsamında yeni yönergeyi yayınladı.
Yönerge, kurumların ve satıcılarının, hükümet sistemleri ve cihazlarında kullanılan ürünler, uygulamalar ve web hizmetlerine ilişkin federal Commonwealth Teknoloji Standardı’nın (CTS) gereksinimlerini karşılamasını gerektiriyor.
Foster, şu yönde yazdı: “Tehdit ve risk analizini değerlendirdikten sonra, Avustralya Hükümeti ağları ve yabancı müdahale, casusluk ve sabotaj tehditlerinden kaynaklanan veriler için kabul edilemez düzeyde güvenlik riski oluşturan Avustralya Hükümeti kurumları içindeki ürün, uygulama ve web hizmetlerinin artan kullanımına yanıt vermek için daha fazla rehberliğin gerekli olduğuna karar verdim.”
Yönerge, tedarikçiler için iki son tarih belirlemektedir.
31 Ekim’den itibaren, talimata tabi kuruluşların İçişleri red listesindeki tüm uygulamaları ve web hizmetlerini tanımlaması ve kaldırması ve bunların gelecekte kurulmasını önlemek için adımlar atması gerekecek.
Bakanlığın kamuoyuna açıkladığı listede şu anda sadece sosyal medya uygulaması TikTok, DeepSeek’in açık kaynaklı geniş dil modeli üzerine kurulu yapay zeka ürünü ve Rus siber güvenlik devi Kasperksy Services’in sunduğu siber güvenlik ürünleri yer alıyor.
İkinci son tarih ise gelecek yılın 2 Şubat’ına denk geliyor; bu tarihte, yönetmeliğe tabi kuruluşların üç yeni şartı karşılaması gerekecek.
Bunlardan ilki, İçişleri Bakanlığı’nın yeni merkezi paylaşım yeteneği aracılığıyla risk değerlendirmelerini paylaşmayı “dikkate almaya” yönelik bir politika geliştirmek olacaktır.
İkincisi, onları CTS kapsamında belirlenen uygulamaların ve web hizmetlerinin yetkilendirilmesi için yeni süreçler oluşturmaya çağırıyor.
Son olarak kurumların değişiklikleri İçişleri güvenlik şubesine bildirmeleri gerekecek.
Dowling, acente ağları ve cihazlarında kullanılan uygulamaların, tedarik zincirlerindeki zayıflıklar nedeniyle hükümet güvenliğine yönelik büyük bir tehdit olmaya devam ettiğini söyledi.
Ancak son zamanlarda donanıma, özellikle dronlara ve diğer gözetleme ekipmanlarına odaklanıldığını söyledi.
“Son yıllarda dünyanın her yerindeki başarılı siber saldırılara baktığınızda, bunların çoğunlukla yazılım tedarik zincirlerinden geldiğini görürsünüz, dolayısıyla bu, her zaman dikkate aldığımız şeyin önemli bir özelliği olacaktır” dedi.
“Fakat artık CCTV kameraları ve drone’lar gibi daha çok kurumların faaliyetlerinin bir özelliği olan teknolojiye sahibiz ve belirli ortamlarda bu tür teknolojiler casusluk veya sabotaj riskini temsil edebilir.”