Technology

Pemerintah WA membentuk tim peningkatan keamanan siber – Strategi – Keamanan

Pemerintah WA telah membentuk tim pemogokan untuk membantu departemen dan lembaga untuk meningkatkan postur keamanan cyber mereka setelah mengamanatkan kontrol keamanan cyber Essential Eight tahun lalu.

Tim peningkatan, yang berada di dalam unit keamanan siber Office of Digital Government, dimungkinkan dengan suntikan dana $ 25,5 juta dalam tinjauan anggaran pertengahan tahun pemerintah.

Pendanaan, yang disediakan melalui dana kemampuan digital baru pemerintah, akan digunakan untuk lebih mengembangkan kemampuan keamanan siber WA, termasuk deteksi insiden, respons, dan pencegahan.

Ini adalah investasi signifikan pertama dalam keamanan siber sejak Office of Digital Government (DGov) memperoleh $1,8 juta dalam anggaran 2020-21 untuk mendirikan pusat operasi keamanan siber (CSOC).

Berbicara kepada iTnews tentang investasi tersebut, kepala petugas keamanan informasi pemerintah Peter Bouhlas mengatakan tim baru telah dibentuk untuk membantu “lembaga memahami di mana titik lemah mereka dan untuk memberikan dukungan langsung”.

“Ini bisa sangat melelahkan, dengan daftar hal yang sangat panjang untuk dilakukan, yang [controls] lakukan dulu,” ujarnya.

“Kami dapat membantu mereka fokus pada satu atau dua atau tiga kontrol yang mereka perjuangkan, dan kemudian tim dapat masuk dan memiliki pendekatan yang lebih bertarget untuk mendukung agensi.”

Mengatasi kekhawatiran yang sudah lama dipegang

Awalnya terdiri dari lima staf, tim peningkatan akan mengerjakan berbagai inisiatif berbeda di sejumlah lembaga, tergantung di mana bantuan dibutuhkan.

Sekitar 25 staf akan bergabung dengan unit keamanan siber secara total sebagai hasil dari pendanaan, terbagi rata antara peran kebijakan dan operasi.

DGov telah menggunakan survei untuk mengidentifikasi titik lemah dan area lain yang menjadi perhatian, meskipun lembaga juga dapat meminta bantuan.

“Kita bisa melihat dari hasil survei dan penilaian maturitas mereka di mana mereka membutuhkan bantuan,” kata Bouhlas.

Instansi pemerintah WA telah berjuang untuk memenuhi persyaratan keamanan dunia maya selama bertahun-tahun, seperti yang disorot dalam berbagai laporan sistem informasi dari auditor jenderal negara bagian.

Laporan terbaru, yang diterbitkan bulan lalu, menemukan hanya 50 persen agensi yang memenuhi tolok ukur keamanan informasi pada tahun 2021, dengan “tidak ada peningkatan yang nyata dari tahun sebelumnya”.

“Selama 14 tahun terakhir hanya ada sedikit peningkatan di bidang ini dengan hanya peningkatan 11% dalam jumlah entitas sejak 2008,” kata laporan itu.

Dari SECC5 ke Essential Eight

Bouhlas mengatakan sebagian besar fokusnya adalah pada penerapan kontrol Esensial Delapan Pusat Keamanan Siber Australia, yang telah menggantikan konstruksi SECC5 oleh pemerintah WA.

SECC5 – atau Lima Kontrol Teratas Keamanan dan Darurat Kabinet (SECC) – awalnya diperkenalkan sebagai “latihan pemanasan menjelang rangkaian kontrol yang lebih besar”.

“Lima kontrol jauh lebih mudah untuk diajak bicara dan dapat diterima oleh agensi untuk dilakukan, jadi kami fokus pada itu,” katanya.

Kontrol termasuk patching, otentikasi multi-faktor dan akun istimewa dan cadangan, tetapi menghilangkan daftar putih aplikasi.

“Saya tidak berpikir bahwa lembaga siap untuk itu,” kata Bouhlas.

Sebagai bagian dari kebijakan keamanan siber baru pemerintah [pdf]dirilis pada Oktober 2021, mandat Essential Eight baru diperkenalkan sebagian karena menjamurnya layanan cloud.

Kebijakan baru mengharuskan lembaga untuk mencapai peringkat ‘tingkat kematangan satu’, satu tingkat lebih tinggi dari tingkat kematangan nol – tingkat terendah di bawah model maturitas Essential Eight.

ACSC memperkenalkan kembali peringkat tingkat kematangan nol – yang menandakan kelemahan dalam postur dunia maya organisasi secara keseluruhan – dalam penyegaran kontrol tahun lalu.

“Essential Eight bagi kami penting karena mereka melindungi kami dari sebagian besar serangan yang kami lihat di WA, Australia, dan bahkan secara global,” kata Bouhlas.

“Jadi, jika Anda tidak melakukannya dan melakukannya secara efektif, hal lain yang Anda lakukan dapat membuang-buang waktu.”

Bouhlas mengatakan keputusan ini dibuat dengan agensi, yang mengakui hal itu dapat menyebabkan mereka “kembali ke level yang lebih rendah”.

“Dengan suara bulat, tidak ada satu pun agensi yang mengatakan tidak, kami tidak ingin melakukan ini. Mereka menyadari itu mungkin sulit, mungkin terlihat buruk, tetapi ada kebutuhan untuk meningkatkan kemampuan keamanan siber mereka.”

DGov akan melaporkan kepada kabinet tentang jumlah lembaga yang mencapai tingkat kematangan satu peringkat di bawah delapan esensial dan yang tidak.

Koordinasi yang lebih besar

Investasi signifikan pemerintah dalam unit keamanan siber DGov juga akan melengkapinya dengan fasilitas khusus untuk menampung tim yang sedang berkembang.

“Orang akan memiliki fasilitas yang layak untuk melakukan peran yang kita harapkan di zaman modern ini,” kata Bouhlas.

Pendanaan juga akan digunakan untuk “alat” baru seperti pemindai kerentanan dan informasi keamanan dan sistem manajemen acara (SIEM), menghindari kebutuhan lembaga untuk membeli sendiri.

Tim juga akan berkoordinasi dengan vendor untuk membantu industri “memahami apa yang dilakukan DGov” ketika mereka terlibat dengan agensi.

“Memiliki fungsi sentral berarti kami mengatur semua industri keamanan cyber WA untuk berada di halaman yang sama,” katanya.

Posted By : pengeluaran hk hari ini 2021