Victoria hükümeti gelecek yılı, eyaletin kamu sektöründeki 3000’den fazla kuruluş için “yeni, birbiriyle örtüşmeyen siber güvenlik kılavuzu” ve zorunlu standartlar oluşturmakla geçirecek.
Kılavuzun, kimlik ve erişim yönetimi, güvenlik kontrolleri ve cihaz standartları ile ilgili çeşitli “yetkiler” içermesi bekleniyor.
Çaba bir rapordan sonra kabul edildi [pdf] en az 2021’den beri radarda olan tüm devlet siber güvenlik koordinasyonunda ilerleme olmamasını eleştirdi.
Victorian Auditor General’s Office (VAGO) tarafından hazırlanan aynı rapor, özellikle ajansların M365 kullanımına ilişkin bir örneği inceleyerek çok faktörlü kimlik doğrulama (MFA) kullanımı, ayrıcalıklı erişim yönetimi (PAM) ve diğer korumaların eksikliğini tespit etti. yerinde.
Yeni siber güvenlik zorunlulukları
Raporun temel bulgularından biri, devletin kamu sektörünün “siber güvenlik risklerini koordineli bir şekilde ele almak için büyüklüğünü ve ölçek ekonomisini kullanmadığı”dır.
“Victoria kamu sektörü, halka hizmet sunan 3000’den fazla kuruluşa sahiptir” diyor.
“Koordineli bir yaklaşım olmadan, birçok kurum çabalarını tekrarlıyor ve siber güvenlik risklerini verimli bir şekilde yönetmek için kamu sektörünün ölçek ekonomisini kullanmıyor.”
Denetçi, tüm devlet koordinasyonunun 2021’de yayınlanan bir planın parçası olduğunu kabul etmekle birlikte, bugüne kadar sınırlı ilerleme kaydedilmesinden endişe duyuyor.
Geçen yıl Office 365’te (şimdi M365) hazırlanan tüm devlet tavsiyesinin yalnızca tek bir örneğine işaret edebildi.
Kuruluşların ‘Güvenli Puan’ numaralarını paylaşmalarını sağlamak gibi tüm devlet koordinasyonuna yönelik diğer girişimler – yerel olarak M365 tarafından üretilen bir güvenlik duruşu önlemi, denetleme kurumu Digital Victoria’nın kurumları teslim etmeye zorlama yetkisi olmadığı için zor oldu. puanlarının üzerinde.
Sadece yüzde 27’si bunu gönüllü olarak yaptı.
VAGO, bu yıl kurulan ve Service Victoria’yı kapsayan Devlet Hizmetleri Departmanına (DGS), yeni tüm-hükümet rehberliği ve “görevler” oluşturmak için Victoria Bilgi Komiserliği Ofisi de dahil olmak üzere “ilgili kurumlarla çalışmasını” tavsiye etti.
Yetkiler kilit bir özelliktir: DGS ve Service Victoria’ya izleme ve standartların uygulanması açısından potansiyel olarak daha fazla destek vereceklerinden.
Denetçi, “kamu sektörü kaynaklarına erişmek için kullanılan tüm kimlik sınıflarını ve cihazları” kapsayan yetkiler istiyor.
DGS, yeni rehberliğin ve yetkilerin geliştirilmesini “bilgilendirmeyi ve desteklemeyi” kabul etmiştir.
Haziran 2024’ün sonu olarak bir hedef tamamlama tarihi belirlemesine rağmen, nihai olarak hangi kurumun kılavuzu yayınlayacağından veya serbest bırakma ve uygulama için belirli zaman çizelgelerinden emin değildi.
M365 uygulamaları
VAGO’nun raporu ayrıca, Victoria’daki siber güvenliğe parça parça yaklaşımı gösterdiğini söylediği sekiz kurumun M365 kullanımına ilişkin bir örneği de analiz ediyor.
Diğer şeylerin yanı sıra, analiz ettiği yalnızca dört ajansın M365’in “tüm kullanıcıları için MFA gerektirdiğini” buldu.
Bununla birlikte, “Yüzde 94 veya 617.000, denetlenen kurumlarda MFA’ya kayıtlı olmayan kullanıcı hesapları” ile uygulama, gereksinimlerin bile oldukça gerisinde kalıyor gibi görünüyor.
Sekiz ajanstan birinde VAGO, kullanılabilirlik endişeleri nedeniyle MFA’nın M365 kullanıcılarının yüzde 48’i için kurulmadığını söyledi.
Raporda, “Ajans bize şunu söyledi… kullanıcı grubu MFA ile önemli zorluklar yaşayabilir” diyor.
“Bu grubun hesaplarının ele geçirilmesinin etkisinin ne olacağını sorduğumuzda, ajans bize bunu söyleyemedi.
“Ajans, kapsamlı bir risk değerlendirmesi yapmadığını doğruladı. [as to whether the] algılanan ‘zorluklar’, tehlikeye atılan hesapların sonuçlarından daha ağır basar.
“Ajanslar, yalnızca uygulanması zor olduğu için önemli bir kontrolü atlayamaz.”
VAGO ayrıca devlet paylaşımlı hizmetler sağlayıcısı Cenitex aracılığıyla M365 tüketen ajansların “güvenlik rolleri ve sorumlulukları konusunda net olmadıklarını” ve kontrolleri güvenlik risklerini yansıtacak şekilde ne ölçüde özelleştirebileceklerini tespit etti.