Federal hükümet, önümüzdeki yılın Haziran ayına kadar tüm internet bağlantılı sistem ve hizmetlerinin bir “envanterini” çıkaracak.
Bir yön [pdf]İçişleri Bakanı Stephanie Foster tarafından 5 Temmuz’da imzalanan yasa tasarısında, “Avustralya hükümet birimlerinin teknoloji yönetim uygulamalarını sıkılaştırmaları için acil ihtiyaç” olduğu belirtiliyor.
Kısa belgeye göre, hükümet kuruluşları artık “Avustralya hükümetine ait veya Avustralya hükümeti tarafından kullanılan resmi veya güvenlikle ilgili sınıflandırılmış bilgileri depolayan, işleyen, ileten veya dönüştüren herhangi bir donanım, yazılım veya bilgi sistemi, platform, mobil uygulama veya hizmet olarak sunulan hizmeti” denetlemek zorunda.
Amaçlanan sonuç, diğer Milletler Topluluğu kuruluşlarının yanı sıra, bakanlık ve kurumların, genel güvenlik planlarının içinde yer alan “tüm internete bağlı sistemler veya hizmetler için bir teknoloji güvenliği risk yönetim planı” geliştirmesidir.
Planın, teknoloji yaşam döngüsü yönetimi uygulamalarını, siber güvenlik açıklarını ve tedarik zinciri risklerini azaltmaya yönelik kontrolleri ve ortamın “sürekli görünürlüğünün ve izlenmesinin” nasıl gerçekleştirileceğini ayrıntılı olarak açıklaması gerekecektir.
İkinci, ilgili bir yön [pdf] hükümetin, teknolojiyle ilgili yabancı mülkiyet, etki veya kontrol risklerini (toplu olarak FOCI) satın alma sırasında yönetmesini gerektirir.
Bu durum, son yıllarda kurumlar ve kritik altyapı işletmecileri tarafından Çin yapımı drone ve CCTV kameralarının kullanımına daha fazla dikkat çekilmesi ve bunların kullanımının durdurulup alternatifleriyle değiştirilmesi yönündeki baskıyla ilişkili olabilir.
Üçüncü bir yön [pdf] Koruyucu güvenlik politikası çerçevesine (PSPF) tabi olan tüm 189 hükümet kuruluşunun “siber tehdit bilgilerini Avustralya Sinyal Müdürlüğü (ASD) ile paylaşmasını” zorunlu hale getiriyor.
Pratik düzeyde bu, ASD’nin kullanılan tüm “siber tehdit avcılığı” yeteneklerine ilişkin hükümet genelinde bir görüş oluşturacağı ve tüm kuruluşların siber tehdit istihbarat paylaşımı (CTIS) platformuna bağlanmasını sağlayacağı anlamına geliyor.
CTIS, kamu ve endüstri kaynaklarından gelen tehdit istihbarat sinyallerini bünyesinde barındırıyor.
Palo Alto Networks hükümet işleri ve kamu politikaları başkanı Sarah Sloan yaptığı açıklamada, “Hükümetin bağlayıcı direktif yetkilerini kullanmasının yalnızca ikinci seferi bu. İlk örnek, Commonwealth bakanlıkları ve kurumları tarafından verilen cihazlarda TikTok uygulamasını yasaklamak için zorunlu bir talimattı.” dedi.
Saldırı yüzeyine odaklanan “stok sayımı”nın, hükümetin “savunmasız sistemleri derhal bulup güvence altına almasına” yardımcı olacak bir faaliyet olarak “iyi bir yerde” olduğunu da sözlerine ekledi.