تیر ۲۵
جواد محمدی
دبیر خبر | ۱۳ خرداد ۱۳۹۹

فرافکنی نهادهای امنیت سایبری دولتی استرالیا

باوجوداینکه دادستانی کل و وزارت دفاع استرالیا مسئولیت تنظیم سیاست‌های امنیت سایبری و نظارت بر آن را بر عهده‌دارند؛ اما این دو نهاد گفته‌اند، وظیفه خود نهادهای مشترک‌المنافع است که امنیت سایبری خود را بررسی کنند و هرگونه سؤال در این زمینه باید به سمت این ن

به گزارش کارگروه امنیت سایبربان؛ در جریان دادرسی که اخیرا توسط کمیته مشترک برای بررسی امنیت سایبری نهادهای مشترک‌المنافع برگزار شد،مشخص شد نهادهای دولتی در رابطه با نهادهای مشترک‌المنافع پاسخگویی مناسبی ندارند.

دفتر حسابرسی ملی استرالیا (ANAO) با انتقاداتی از سوی کمیته یادشده روبرو شد. ازجمله انتقادات این بود که چرا چارچوب سیاست‌ حفاظت امنیت (PSPF) برای همه نهادهای مشترک‌المنافع اجباری نشده و چرا باوجوداینکه این نهادها تحت عنوان هشت نهاد ضروری(Essential Eight)  هستند؛ اما تنها چهار نهاد برتر موردتوجه قرار می‌گیرند.

گرانت هِهیر (Grant Hehir) حسابرس کل این کمیته مشترک گفت:

قانون‌گذاری واحدهای عمومی کشور برای واحدهای خصوصی امر عجیبی نیست. این موضوع در بسیاری از زمینه‌ها ازجمله تهیه، مجوزها و چارچوب سیاست حفاظت امنیت قابل‌مشاهده است.

 بررسی‌های امنیت سایبری دفتر حسابرسی ملی استرالیا در سال 2019 نشان داد، امنیت سایبری 29% از آژانس‌ها مطابق با چهار نهاد برتر دولتی است درحالی‌که طبق ارزیابی‌های درون‌سازمانی خود آژانس‌ها تصور می‌شد 60% آژانس‌ها از این امنیت برخوردار هستند.

تیم واتس (Tim Watts)، یکی از مقامات استرالیا در زمینه امنیت سایبری، این ارزیابی را نادرست خواند.

گرانت هِهیر اظهار داشت:

با توجه به شواهد حسابرسی‌های ما می‌توانیم نتیجه بگیریم، چارچوبی كه در این زمینه وجود داشته تغییر رفتار ایجاد نکرده زیرا نظارت در این زمینه قوی نبوده است.

او در ادامه افزود:

من گمان می‌کنم این سؤال‌ها بیشتر از اینکه به ما ارتباط داشته باشد به سازمان‌هایی مربوط است که مسئول تنظیم این چارچوب‌ها هستند.

اداره دادستانی کل (AGD) و وزارت دفاع استرالیا نهادهای اصلی نظارتی هستند. اداره دادستان کل مسئول تنظیم چارچوب سیاست حفاظت امنیت است.

پس از جلسه رسیدگی، اداره کل دادستانی فایل PDF ای به این کمیته مشترک ارسال کرد و در آن اظهار داشت:

امنیت سایبری جزء اولویت‌های دولت استرالیا است.

اداره یادشده در ادامه اظهارات خود نوشت:

چارچوب سیاست حفاظت امنیت به نهادهای مشترک‌المنافع کمک می‌کند تا از مردم، اطلاعات و دارایی‌های داخلی و خارجی محافظت کنند. الزامات اصلی امنیت اطلاعات در بندهای 8 تا 11 این چارچوب آمده است که شامل حفاظت از اطلاعات مهم و طبقه‌بندی‌شده، حفاظت از دسترسی به اطلاعات، حافظت از اطلاعات در برابر حملات سایبری و برخورداری از سامانه‌های قوی فناوری اطلاعات و ارتباطات می‌شود.

اداره کل دادستانی همچنین نوشت:

مرکز امنیت سایبری استرالیا (ACSC) مسئول مدیریت امنیت سایبری دولت استرالیا است. مسئولیت تهیه دفترچه راهنمای امنیت اطلاعات (ISM) بر عهده مرکز امنیت سایبری استرالیا است. در چارچوب سیاست حفاظت امنیت آمده این دفترچه منبعی است که سازمان‌ها را در برابر حملات سایبری و برای توسعه سامانه‌های فناوری اطلاعات قوی راهنمایی می‌کند.

اداره فوق همچنین افزود:

هدف از تهیه این دفترچه ترسیم چارچوب امنیت سایبری است که سازمان‌ها با استفاده از آن و از طریق چارچوب مدیریتی خود بتوانند از اطلاعات و سامانه‌های خود در برابر حملات سایبری محافظت کنند. چارچوب سیاست حفاظت امنیت به نهادهای مشترک‌المنافع خصوصی نیاز دارد تا چهار مورد از هشت راهبرد ضروری خود را اجرا کند همچنین اداره کل دادستانی به‌شدت تأکید کرد باید از تمام هشت راهبرد موجود استفاده کرد.

در ادامه فایل مذکور آمده:

این نهادها باید از راهبردهای دیگری که در راهبردهای مرکز امنیت سایبری استرالیا وجود دارد برای کاهش حوادث امنیت سایبری استفاده کنند. همچنین هرگونه سؤالی در مورد نهادهای خاص و وضعیت سایبری آن‌ها باید از خود این نهادها پرسیده شود. ازآنجاکه نهادهای مشترک‌المنافع مسئول ارزیابی خود هستند، بهتر است سؤال‌های مربوط به اجرای چارچوب سیاست حفاظت امنیت به سمت خود این نهادها هدایت شود.

اخیراً وزارت دفاع استرالیا به نمایندگی از مدیریت سیگنال‌های این کشور (Australian Signals Directorate) تحقیقی در مورد دفتر حسابرسی ملی استرالیا ارائه داد.

وزارت دفاع به گزارش تسلیمی به مجلس که در سال 2019 در مورد وضعیت امنیت سایبری نهادهای مشترک‌المنافع بود اشاره کرد و گفت:

این گزارش آخرین اطلاعات درباره وضعیت امنیت سایبری نهادهای مشترک‌المنافع را ارائه می‌دهد. این گزارش تصریح می‌کند که امنیت سایبری نهادهای مشترک‌المنافع همچنان در حال ارتقا است. با توجه به تهدیدات پویا و گسترده، امنیت سایبری امری دائمی است.

این وزارتخانه همچنین افزود:

درحالی‌که مدیریت سیگنال‌های استرالیا مرتباً با نهادهای مشترک‌المنافع همکاری می‌کند و به آن‌ها در زمینه امنیت سایبری مشاوره و کمک ارائه دهد؛ اما مسئولیت امنیت شبکه و اطلاعات نهادهای خصوصی بر عهده خود این نهادها است. تکامل امنیت سایبری به معنای مدیریت مخاطرات است که هر مقام مسئولی باید از این طریق پیچیدگی‌های کاری و مخاطرات محیط کار خود را مدیریت کند.

در انتها وزارت دفاع استرالیا اعلام کرد:

بهتر است سؤالات مربوط به وضعیت امنیت سایبری نهادهای مشترک‌المنافع خصوصی به سمت خود این نهادها هدایت می‌شود.

منبع: سایبربان

نظرات