Bir UNSW araştırma grubu tarafından yayınlanan bir sunumla, kapalı bir NSW hükümeti siber güvenlik danışmanlığının ayrıntıları ortaya çıktı.
İstişare, tartışılan bir NSW hükümeti güvenlik açığı ifşa çerçevesinin işletilmesi için bir taslak çerçeve eşliğinde 2022’nin sonlarında başlatıldı.
Kasım ayında Cyber Security NSW, “NSW Hükümeti’nin ilk güvenlik açığı açıklama politikasının … şu anda Cyber Security NSW tarafından geliştirildiğini” söyledi.
Ancak Cyber Security NSW, istişare belgelerini kamuoyuna açıklamadı.
bir gönderiye göre [pdf] UNSW Allens Teknoloji, Hukuk ve İnovasyon Merkezi tarafından yayınlanan istişare, bilgi güvenliği araştırmacılarına nasıl yasal güvenli sığınak sağlanabileceğini; NSW’nin “iyi niyetli araştırma” tanımının dışında kalan raporları nasıl ele alması gerektiği; ve yanıt süreleri.
UNSW Allens Hub, NSW hükümetinin bir güvenlik açığı açıklama politikasında “iyi niyetli araştırmayı” tanımlamanın yanı sıra, muhtemelen Suç Yasası“bir güvenlik açığı açıklama programına iyi niyetle katılımın yetkilendirildiğini açıkça belirtmek için”.
Benzer şekilde, UNSW Allens Hub, taslak çerçevenin “bir güvenlik açığı raporunun nasıl kontrol edileceğini, gözden geçirileceğini, değerlendirileceğini, denetleneceğini veya iyileştirileceğini” tanımlamasını önerir.
Sunumda, “Politika şablonu, ‘rapor edilen sorunlar doğrulanana ve düzeltilene kadar’ bir güvenlik araştırmacısı tarafından kamuya açıklama yapılmasına ilişkin bir kısıtlamadan bahsediyor.”
Araştırmacılar ayrıca, NSW hükümeti tarafından uygulanan herhangi bir güvenlik açığı raporlama sisteminin, raporları hem sistemi güvenlik açığına sahip olan kuruma hem de Cyber Security NSW’ye (kurumun yanıt vermemesi durumunda) iletmesi gerektiğini önermektedir.
Sunum ayrıca, UNSW Allens Hub’ın listeye eklemeler önerdiğinden, danışma belgesinin, politika uygulamaya konulursa ne tür testlerin yasaklanacağını listelediğini ortaya koyuyor: hizmet reddi saldırıları, fiziksel saldırılar ve değiştirme veya yok etme girişimleri veriler hariç tutulmalıdır.
Bir NSW Müşteri Hizmetleri Departmanı, bunun kapalı bir danışma olduğunu doğruladı.
Sözcü anlattı iTnews: “Cyber Security NSW, Cyber Insights Series katılımcıları ve ek federal ve eyalet hükümet kuruluşları ile kapalı istişare içindedir.
“İstişarenin bir parçası olarak Cyber Security NSW, raporlar için standart bir giriş yolu seçeneklerini değerlendiriyor ve bir güvenlik açığı ifşa çerçevesinin yeni NSW Siber Güvenlik Politikasını nasıl destekleyebileceğini değerlendiriyor.
“Cyber Security NSW ayrıca, değerlendirilmek üzere NSW Hükümetine politika seçenekleri sağlamadan önce güvenlik açığı ifşa programlarıyla ilgili gereksinimleri belirlemek için 2023-2030 Avustralya Siber Güvenlik Stratejisinin yayınlanmasını bekliyor.”