Avustralya Federal Hükümeti kurumlarının siber güvenlik hazırlığıyla ilgili son araştırmalar, kamu sektörünün siber güvenlik saldırılarına veya büyük veri ihlallerine hazırlıklılığında boşluklar buldu ve bu da 2024’te siber hazırlıklılığın iyileştirilmesine odaklanılmasına katkıda bulundu.
Services Australia ve AUSTRAC olmak üzere iki devlet kurumu üzerinde 2024’te yayımlanan bir denetim, bu kurumların önemli bir siber saldırıdan sonra toparlanmaya yeterince hazırlıklı olmadıklarını ortaya koyarken, daha önce tüm hükümeti kapsayan bir ankette kurumların siber olgunluğuna ilişkin bazı alanlarda boşluklar tespit edildi. .
Avustralya Hükümeti’nin Siber Güvenlik Stratejisi 2023-2030, Federal Hükümetin “endüstriden beklediği standardın aynısını tutması” gerektiğini söyledi. 2024 yılında Avustralya Sinyal Müdürlüğü’nün odak noktalarından biri devlet kurumlarındaki siber güvenlik becerilerini geliştirmektir.
Avustralya hükümeti kurumları artan siber tehdit ortamına uygun değil
Avustralya kamu sektörü kurumları, tuttukları veriler nedeniyle siber suçluların ana hedefidir. Örneğin Avustralya Vergi Dairesi, 2024 yılında elindeki 50 petabaytlık veri nedeniyle ayda 4,7 milyon saldırıyla karşı karşıya olduğunu açıklarken, 2023 yılında Güney Avustralyalı süper fon operatörü Super SA’nın ele geçirilmesiyle önemli sayıda insana ilişkin verilere erişildi. .
Avustralya devlet kurumlarının 2022-23’te karşılaştığı saldırılar
ASD’ye bildirilen olaylara dayanan resmi istatistikler, devlet kurumlarının güçlü saldırı hacmiyle siber suçlular için cazip hedefler olmaya devam ettiğini gösteriyor. 2022-2023’te:
- Avustralya Sinyal Müdürlüğü’ne bildirilen siber güvenlik olaylarının yaklaşık %31’i Avustralya Hükümeti kuruluşlarından kaynaklanmıştır.
- Bunların %40’ından fazlası federal hükümete, hükümet tarafından paylaşılan hizmetlere veya düzenlenmiş kritik altyapıya yönelik koordineli düşük seviyeli kötü niyetli siber saldırılardı.
- Fidye yazılımı en önemli siber suç tehdididir ve Avustralya Hükümeti kurumlarının yanı sıra işletmeler ve bireyler için de ciddi risk oluşturur.
BAKIN: Avustralya siber güvenlik becerileri eksikliğinden bir gün kurtulabilecek mi?
Devlet kurumlarının mevcut siber güvenlik duruşu
ASD’nin tüm devlet kurumlarının olgunluk düzeyini değerlendiren 2023 Siber Güvenlik Duruş Raporu, “kurumlar arasındaki genel olgunluk düzeyinin 2023’te düşük kaldığını” belirtti. Rapor şunu buldu:
- Kuruluşların %25’i, ASD’nin Temel Sekiz azaltım stratejileri kapsamında Olgunluk Düzeyi İki’de kendi değerlendirmesini yaptı. Temel Sekiz çerçevesi dört olgunluk düzeyi içerir; Olgunluk Düzeyi Sıfır en düşük ve Düzey Üç en iyi uygulama olarak kabul edilir.
- Çoğu kamu sektörü kuruluşu — %71 — Temel Sekiz hafifletme stratejisi “Düzenli yedeklemeler” için Olgunluk Düzeyi İki’de kendi kendini değerlendirdi. Bu, önemli bir siber saldırının ardından toparlanma becerisinde potansiyel bir sorun olduğunu gösteriyordu.
- Sadece %82’sinin bir olay müdahale planı vardı, ancak bu 2022’ye göre bir gelişmeydi. Bunların %90’ı planlarının en son son iki yıl içinde güncellendiğini, %69’u ise planın en az iki yılda bir yasalaştığını belirtti.
Avustralya Ulusal Denetim Ofisi tarafından Avustralya Federal Polisi, Avustralya Vergi Dairesi ve Dışişleri ve Ticaret Bakanlığı da dahil olmak üzere kamu sektörü organlarının daha önce gerçekleştirdiği denetimler de “kurumlarda düşük düzeyde siber direnç tespit etmişti.”
AUSTRAC ve Services Australia siber güvenlik eksikliklerini gösteriyor
Haziran 2024’te Services Australia ve AUSTRAC’ta siber güvenlik olay yönetimine ilişkin bir ANAO raporu, önlemlerinin yalnızca “kısmen etkili” olduğunu ve her ikisinin de önemli bir siber güvenlik olayının ardından iş sürekliliğini veya felaketten kurtarmayı sağlamak için iyi bir konumda olmadığını ortaya çıkardı.
Vatandaşlara hizmet ve ödeme sağlayan Services Australia ve finansal sistemin suç teşkil eden suiistimalini durdurmaktan sorumlu olan AUSTRAC, hem ekonomik veya ticari bilgilerin hem de kişisel bilgilerin koruyucularıdır ve ulusal güvenlik veya kritik altyapı olarak sınıflandırılırlar.
AVUSTURYA
ANAO raporu, AUSTRAC’ın olay kurtarma süreçlerini destekleyen prosedürlerinin, yedekleme çözümlerinin güvenliğini ve testini içermediğini ve kritik iş süreçlerini destekleyen sistemleri, uygulamaları ve sunucuları detaylandırmadığını ortaya çıkardı.
Ayrıca, CISO’nun sorumluluklarını (sürekli izleme ve iyileştirme raporlama yaklaşımı) ayrıntılı olarak açıklamadı veya raporlama için zaman çerçevelerini tanımlamadı. Ayrıca kuruluşun bir olay günlüğü politikası yoktu veya tüm siber güvenlik olaylarına ilişkin analizini belgelemiyordu, bu da ASD yönergelerini ihlal ediyordu.
BAKIN: Avustralya’daki CISO’lar veri ihlali risklerine daha yakından bakmaya çağrıldı
Hizmetler Avustralya
Services Australia, siber güvenlik olay yönetimi prosedürlerinin tasarımında yalnızca “kısmen etkili” olup, tehdit ve güvenlik açığı değerlendirmelerine yönelik belgelenmiş bir yaklaşım yoktur. Ayrıca önceliklendirme ve üst kademeye yükseltme için bir zaman çerçevesi ve soruşturmalar için tanımlanmış bir yaklaşım yoktu.
Ajans, düzenli yedeklemeler de dahil olmak üzere “etkili kurtarma süreçlerini kısmen uyguladı”. Ancak planlar, kritik iş süreçlerini destekleyen tüm sistem ve uygulamaları içermiyordu ve kurum, yedeklerin kurtarılabilirliğini test etmiyor.
Avustralya ulusal siber güvenlik stratejisi nedir?
Avustralya hükümeti, kurumların siber güvenlik hazırlık ve dayanıklılık düzeylerini iyileştirmeleri gerektiğinin bilincindedir. Örneğin, Siber Güvenlik Stratejisi 2023-2030’da hükümet, kritik altyapının sahibi ve operatörü olarak ve Avustralya’nın halkı, ekonomisi ve ulusal güvenliği hakkındaki en hassas verilerden bazılarını tutmaktan sorumlu olarak, “hükümetin şunları yapması gerektiğini yazıyor: kendisini endüstriye dayattığı standardın aynısına bağlı tutuyor.”
Stratejinin bir parçası olarak hükümet şunları taahhüt etmiştir:
- Devlet dairelerinin ve kurumlarının siber olgunluğunun güçlendirilmesi.
- Devlet genelinde kritik sistemlerin belirlenmesi ve korunması.
- Avustralya Kamu Hizmetinin siber becerilerini geliştirmek.
ASD, ekstra fon kullanarak 2024 yılında devlet kurumlarında güvenliğin artırılmasında rol oynayacağını söyledi. Bu, departmanlara daha fazla teknik yetenek kazandırmayı ve kurumların ağlarını siber suçlulara karşı güçlendirmelerine yardımcı olacak daha fazla uzmanın sağlanmasını içerir.
Özel sektör, kamu sektörü güvenlik standartlarının artırılmasını talep ediyor
Özel sektör, kamu sektöründe siber güvenliğin iyileştirilmesine yönelik hamleleri memnuniyetle karşılayacaktır.
Teknoloji endüstrisini temsil eden Avustralya Teknoloji Konseyi, önerilen siber güvenlik mevzuat reformları hakkında hükümete yakın zamanda sunulan bir sunumda, Avustralya hükümetini kendi bilgi güvenliği uygulamalarını ve yöntemlerini iyileştirmeye ve korumaya çağırdı. Bunun amacı, zorunlu siber olay bilgi paylaşımı önerileri kapsamında özel sektör kuruluşları tarafından kendisine sağlanan her türlü bilginin güvenli aktarım ortamlarında ve kanallarında gerçekleşmesini sağlamaktır.
Amazon Web Services, hükümetin resmi olarak kendi kritik altyapısını ve “Devlet Önemi Sistemlerini” Kritik Altyapı Güvenliği Yasası veya diğer yasal çerçeve kapsamına dahil etmesi gerektiğini önerdi.
AWS şöyle yazdı: “Bunu yapmak, hükümet için uygulanabilir önemli ölçütler belirleyecek ve endüstriye, hükümetin kendisini ülkenin siber kalkınmasında gerçekten eşit bir ortak olarak gördüğüne dair önemli bir sinyal gönderecektir.”
Kaynak: https://www.techrepublic.com/article/australian-public-sector-cyber-security-strategy/