应该在澳大利亚的下一个网络安全战略中
澳大利亚政府在2016年提前230万美元的蓝图之后追究其下一个网络安全战略,以促进澳大利亚人的更安全的网络空间。
在Adiscussion Parupon澳大利亚的2020个网络安全战略,由行业小组受到行业小组,家务院部长彼得杜顿表示,绝望的强大的进步,2016年举办的目标,威胁环境发生了重大变化。
“我们需要调整我们的方法来提高企业和社区的安全性,”他说,“指出网络安全事件估计每年澳大利亚企业高达290亿美元,而网络犯罪影响近三分之一的澳大利亚2018年的成年人。
为了抵御澳大利亚的网络安全性弹性,有几个地区被抛出了讨论。其中包括杀戮,企业和政府之间的责任平衡,建立高质量的安全专业人士市场,并在ICT供应链中灌输更大的信任。
计算机每周接近组织对政府的讨论文件发表评论,但大多数人都不愿意讨论审查过程或他们对应采取的方向的看法 - 超出他们对民政事务部门所作的任何书面意见书。
分析师公司IBRS的顾问彼得桑迪兰人提请注意行业小组的化妆。注意到他们都是“高度胜任”,除了其中之一或者在Telstra的高级角色,主要是在财务,运营或安全之外的其他地区担任高级作用。
Sandilands特别关注缺乏消费者和小型商界社区的代表,但他还将首选由来自更广泛行业的人组成的小组。
在澳大利亚网络安全准备状态,Sandilands表示,在不同行业的组织中存在明确的安全意识和能力的层次结构。
顶级是大型银行和保险公司,其中有广泛的IT和网络安全团队,至少有200人在一些顶级公司。“这些家伙在这个空间的竞争力很高,”他观察到。
其他大型组织通常具有广泛的IT团队,但安全人员较少,而第三层中的人至少有一个人作为其正式义务的一部分具有安全性。
然后,绝大多数没有人员与网络安全专业知识,这意味着他们必须依赖外部指导。重要的是,它们甚至可能无法意识到它们具有这种能力差距。
Nigel Phair,Unsw Canberra Cyber董事兼堪培拉大学互联网安全中心董事总经理,其中包括企业,非营利资金和其他组织不断受到商业电子邮件妥协和网络钓鱼的攻击。
他说,这些组织需要直接的援助和持有,除了参加研讨会之外,补充说,授予计划在2018年在2018年推出的网络安全方面推出的小型企业,作为2016网络安全战略的一部分是浪费时间。
PHAIR表示,该计划太麻烦了,最高2,100美元的赠款,该接受者必须匹配,太小了。据他所知,只授予少数赠款,但行业,科学,能源和资源部门每周告诉计算机33这样的赠款被抛出。
Phair呼吁澳大利亚遵循英国的榜样,其上限约为40,000美元。他还指出,英国的国家网络安全中心为企业的Cyber Essentials认证,费用约为600美元。
Sandilands称讨论文件“预审调查”,主要是寻找答案。如果出现了审查和评论,他还询问了由此产生的建议:“这是这个窗户敷料,还是他们要做一些事情?”
他还挑选出可能意味着更大的政府控制数据流量的讨论问题,例如如何减少澳大利亚的大量,低复杂的恶意活动,以及政府可以为恶意网络演员创造敌对环境。
他说,这样的建议可能会影响服务发现和互联网的自我修复性质。此外,加密一切的移动使得很难检查流量而不破坏安全性。
Sandilands还呼吁改善政府与行业威胁之间的信息共享。他说,当政府确实提供了某些信息,在选定的组织中选择唯一的杀戮,以帮助他们塑造他们的防御,即使它与特定威胁没有挂钩,更广泛的披露会有所帮助。
关于信息流向相反的方向,组织往往不愿意告诉政府机构他们所发现的一切,因为这将在他们的实践中揭示可能导致监管或其他行动的差距。
Sandiland的观点似乎与澳大利亚信号局(ASD)保持一致,是通过简单地改善运营实践,可以解决大多数安全威胁。他的类比是:“当你离开房子时,你会锁门。你不考虑安全性,你只知道你应该做的事情,而且你这样做。“
涉及到它时,Phair和Sandilands同意常规备份等步骤,保持当前的系统库存能够启用提示修补,并遵守最有权的原则应该是基本操作策略的一部分。
这些和其他措施是ASD的必需八个部分,这将帮助组织防止85%的攻击。“这是一个很大的影响,”Sandilands说,这不是实施必需八个并不像听起来那么容易。
PHAIR表示,教育努力需要围绕如何正常运行IT运营,而不是将安全性视为与运行单独或多个安全部门的组织分开,每个都具有自己的职责。Phair说,没有技术银弹,所以组织需要获得基础知识。
尽管如此,Phair表示,政府已表现出对获得国家网络安全权的兴趣,但附加到2020个网络安全战略的新资金的数量将显示它有多严重。
他说,这一领域的思想领导力的责任与政府在一起,政府需要维护国民经济以及国家安全。