Avustralya Sinyal Müdürlüğü tarafından yapılan bir değerlendirmeye göre, 2024 yılında 2023 yılına kıyasla daha fazla sayıda Avustralya hükümet kurumu gerekli siber güvenlik olgunluk seviyelerini karşılayamadı.
ASD, 2024 yılında kuruluşların yalnızca %15’inin Avustralya’nın Temel Sekiz siber güvenlik çerçevesinde Olgunluk Düzeyi 2’ye ulaştığını bildirdi; bu oran 2023’teki %25’ten keskin bir düşüş.
Avustralya’nın Koruyucu Güvenlik Politikası Çerçevesi uyarınca, kurumların 1 Temmuz 2022’ye kadar en azından Olgunluk Düzeyi 2’yi karşılamak için Temel Sekiz azaltma stratejisinin tümünü uygulaması gerekiyordu. Bazı kuruluşlara ayrıca güvenlik ortamlarının daha yüksek Olgunluk Düzeyi 3’e ulaşmayı garanti edip etmediğini değerlendirmeleri tavsiye edildi.
BAKIN: 2025’te Avustralya’da siber güvenlik öncülüğünde özel sektör teknoloji yatırımı yapılacak
Bu gerekliliklere rağmen ASD, 2024 sonuçlarının kurumlar arasında Seviye 2 uyumluluğuna ulaşmanın “düşük kaldığını” vurguladığını belirtti.
Avustralya’nın Temel Sekiz çerçevesi, kuruluşların güvenlik olaylarına karşı savunmasızlıklarını ve meydana gelmeleri halinde olayların etkilerini azaltmalarına yardımcı olacak sekiz hafifletme stratejisinin ana hatlarını çiziyor.
Bu önlemler şunları içerir:
Çerçeve aynı zamanda 0’dan 3’e kadar değişen dört olgunluk düzeyinin özelliklerini de açıklamaktadır. İşletmelerin daha yüksek bir olgunluk düzeyine ulaştıklarını iddia edebilmeleri için sekiz stratejinin tümünde bir olgunluk düzeyini karşılamaları gerekir.
BAKIN: Avustralya çığır açan bir siber güvenlik yasasını kabul etti
En düşük kurum oranının Olgunluk Seviyesi 2’ye ulaştığı azaltım stratejileri şunlardı:
Avustralya devlet kurumları aşağıdaki stratejiler açısından Olgunluk Düzeyi 2’ye göre en iyi performansı gösterdi:
ASD, Kasım 2023’te Essential Eight modelinde yapılan bazı yükseltmelerin, kurumların 2024’te olgunluk seviyelerini daha düşük derecelendirmesine katkıda bulunmuş olabileceğini öne sürdü.
ASD raporda, “Temel Sekiz Olgunluk Modelinde yapılan değişiklikler, henüz yeni gereksinimleri uygulamayan kuruluşların 2023’e kıyasla olgunluk düzeyinde bir azalma kaydedeceği anlamına geliyor” dedi.
Örneğin, ajansların %54’ü daha önce Çok Faktörlü Kimlik Doğrulama için Olgunluk Düzeyi 2’de olduklarını bildirmişti. Kimlik avına karşı dayanıklı MFA’ya yönelik yeni gereksinimler, oranı %23’e düşürdü.
BAKINIZ: Avustralya’nın kamu sektörü kurumları siber saldırıya hazır mı?
Ancak ASD, bu güncellemelerin “kötü niyetli aktörler tarafından kullanılan ticari araçların evrimi tarafından bildirilen siber güvenlik tehditlerini ele almayı” amaçladığını ve bunun “tehditle orantılı” tavsiye gerektirdiğini söyledi.
Essential Eight yükseltmelerine ayak uyduramayan kurumlar, aslında kötü niyetli aktörler tarafından artan bir riske maruz kalacak ve bir uzlaşma meydana geldiğinde daha büyük bir etkiye maruz kalacak.
ASD’nin, aldığı olay raporlarının hacmi de dahil olmak üzere bazı endişe verici alanları vardı.
Bununla birlikte, eski sistemlerin kullanılması birçok kurumun Temel Sekiz’i uygulama becerisine büyük ölçüde katkıda bulunmuştur. 2024’te kuruluşların %71’i, eski teknolojileri kullanmanın Temel Sekiz’i uygulama becerilerini etkilediğini belirtti; bu oran 2023’te %52’ye göre bir artış gösterdi.
Kuruluşlar, eski BT’yi hâlâ kullanmanın en önemli nedeninin şunlar olduğunu bildirdi:
Raporda ASD, kamu sektörü kurumlarındaki eski BT ile ilgili devam eden sorunun “Avustralya Hükümeti kurumlarının siber güvenlik duruşuna yönelik önemli ve kalıcı riskler” sunduğunu söyledi.
ASD, “Satıcılar güvenlik güncellemelerinin geliştirilmesini desteklemediğinden veya güvenlik hizmetlerini sınırlamadığından eski BT siber saldırılara karşı daha savunmasızdır” dedi.
“Kötü niyetli aktörler eski BT’yi tehlikeye atabilir ve bunu BT ortamlarındaki daha modern sistemlere erişim kazanmak için kullanabilir.”
ASD, Avustralya hükümet kurumunun siber güvenlik duruşlarının “bazı alanlarda köklü olduğunu, diğerlerinde ise iyileştirilmesi gerektiğini” söyledi. Güvenlik risklerini anlamak ve siber tehditlere hazırlıklı olmak için kurumsal yönetim mekanizmalarının kurulmasını olumlu bir alan olarak öne çıkardı.
Raporda çoğu kişinin bir siber güvenlik olayı planladığı ve yanıt vermeye hazır olduğu ortaya çıktı:
ASD, kurumların güncel gerekliliklere uygun olarak güncellenmiş Temel Sekiz azaltım stratejilerini kendi ağlarında en azından Olgunluk Düzeyi 2’ye kadar uygulamaya devam etmeleri gerektiği sonucuna vardı.
Ayrıca Avustralya’nın kamu sektörü kurumlarının siber güvenlik olayı raporlamasını artırması ve siber tehdit bilgilerini ASD ile paylaşması, eski BT’yi şimdi ve gelecekte yönetmek için stratejiler uygulaması ve bir olay müdahale planı sürdürmesi ve bunu en az 2 yılda bir uygulaması tavsiye edildi.
Kaynak: https://www.techrepublic.com/article/australia-government-cyber-security-maturity-declines/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası