В то время как архивное ведомство реализует концепцию обеспечения киберустойчивости, у его генерального директора есть сомнения относительно способности Национальных Архивов в полной мере обеспечить соответствие требованиям.
Национальные Архивы Австралии недавно подверглись критике со стороны Счётной палаты Австралии (Australian National Audit Office, ANAO) за недостаточные меры в плане обеспечения безопасности ( https://www.zdnet.com/article/anao-calls-out-low-self-assessments-of-commonwealth-cyber-compliance/ ), в связи с основными четырьмя стратегиями федерального правительства по смягчению рисков этой области.
Национальные Архив в настоящее время работают над реализацией на практике концепции киберустойчивости, однако генеральный директор этого федерального учреждения Дэвид Фрикер (David Fricker) обеспокоен его способностью в полной мере обеспечить соответствие, а также объективно оценить степень соответствия.
«Я удовлетворен качеством рекомендаций, который мы получаем в плане того, что требуется для достижения такого соответствия, - но я обеспокоен нашей способностью выполнить это, а также тем, достаточно ли у нас как у организации квалификаций для того, чтобы самостоятельно определить, что мы действительно соответствуем требованиям». Об этом Фрикер 21 марта сообщил Объединенному комитету по государственному бюджету и аудиту (Joint Committee of Public Accounts and Audit).
Признавая, что прямолинейная реализация «Восьми необходимых мер по смягчению рисков» (Essential Eight, см. также https://www.zdnet.com/article/block-adverts-delete-flash-kill-java-asd/ ), которые являются установленным государством обязательным расширением «Четырёх стратегий» (Top 4), должна устранить большинство рисков, с которыми может столкнуться его ведомство, Фрикер одновременно осознает необходимость не допускать самоуспокоенности.
«По-прежнему существует беспокойство относительно того, что если слишком буквально воспринимать эти рекомендации, то будет риск упустить ряд существенных технических уязвимостей, продолжая при этом блаженно верить в своё соответствие требованиям, которого на самом деле нет», - пояснил он.
«Я полагаю, что мы получили хорошие советы, и в то же время я считаю, что по-прежнему более важным моментом является то, что полагаясь на проведение самооценки отдельными государственными органами и учреждениями, каждое из которых обладает неодинаковыми способностями и неравными техническими знаниями, мы не сможем обеспечить согласованную киберустойчивость в рамках всего австралийского Содружества.»
«Всегда будут органы и учреждения, являющиеся самым слабыми звеньями в цепочке ... и меня беспокоит то, что мы будем продолжать реагировать по принципу «каждый делает, что может». Я никогда не поверю, что мы соответствует требованиям на все 100%, потому что самоуспокоенность порождает небрежное отношение».
Фрикер сказал, что в Национальных Архивах нет системы, когда кто-либо из сотрудников организации сертифицируется и уполномочивается на проведение надлежащей оценки кибер-рисков; скорее, у ведомства есть «компьютерные специалисты», которые «вполне способны управлять сетями и администрировать их». Эти специалисты, однако, не всегда имеют специальные знания в области кибербезопасности.
Это стало очевидным, когда Национальные Архивы пошли по пути использования «белых списков» (ведение списков явно разрешённых приложений, авторизованных пользователей и т.п. – Н.Х.). «Национальные Архивы действительно проводят самооценку, но мы допустили ошибку в интерпретации указаний и рекомендаций в отношении «белого списка», и в результате проглядели часть нашей сети, в которой следовало внедрить «белые списки», - отметил Фрикер.
«В ходе аудита было признано наличие определенной двусмысленности в формулировках указаний и рекомендаций, однако если бы у нас был более квалифицированный специалист, то он бы заметил эту двусмысленность и отреагировал на неё на основе гораздо более глубокого понимания риска и его природы.»
Реагируя на итоги проведенного ANAO аудита, Национальные Архивы внедрили концепцию устойчивой кибербезопасности, которая, по словам помощника генерального директора ведомства по информационным технологиям и ИТ-директора Ясо Арумугама (Yaso Arumugam), включает в себя рассчитанную на три года «дорожную карту», выполнение которой поможет выйти на надлежащий уровень обеспечения кибер-устойчивости», покрывающий требования «Восьми необходимых мер».
Ясо подчеркнула, что Национальные Архивы существенно продвинулись с момента начала аудита, и это позволит им в ближайшие несколько месяцев обеспечить, как минимум, соответствие «Четырем стратегиям».
На вопрос комитета о том, препятствуют ли проблемы с финансированием своевременной реализации Национальными Архивами соответствующих мер, Фрикер коротко ответил «Да».
Аша Маклин (Asha McLean)
Мой комментарий: Как всё-таки хорошо живётся сейчас нашему отечественному архивному ведомству: в отсутствие электронных архивов и при незначительном количестве принятых на хранение электронных документов - нет и головной боли с информационной безопасностью :)
Источник: сайт ZNet.com
https://www.zdnet.com/article/national-archives-of-australia-concerned-with-capability-to-become-cyber-resilient/
Комментариев нет:
Отправить комментарий