Hoe kunnen deze Australische veiligheidsinitiatieven uw bedrijf helpen? ISMS.online

Hoe kunnen deze Australische veiligheidsinitiatieven uw bedrijf helpen?

Door René Millman • 11 april 2024

De afgelopen jaren hebben Australische organisaties te maken gehad met een escalerende golf van cyberdreigingen, onderstreept door spraakmakende datalekken en geavanceerde cyberaanvallen. Deze verontrustende trend onderstreept de cruciale behoefte aan robuuste cyberbeveiligingsmaatregelen. Betreed het Australian Cyber Security Center (ACSC). Essentiële Acht en het Right Fit for Risk (RFFR)-kader van het Ministerie van Onderwijs, Vaardigheden en Werkgelegenheid (DESE).

Deze dienen als hoeksteen voor de cyberveiligheidsverdediging en versterken de initiatieven van de Albanese regering gericht op het verbeteren van de nationale cyberveerkracht. Ze kunnen echter worden gezien als een aanvulling op en niet als een vervanging van de internationale norm ISO 27001.

De kaders begrijpen

De Essential Eight is een reeks strategieën die gericht zijn op het bieden van een basishouding op het gebied van cyberbeveiliging voor organisaties. Deze zijn ontworpen om verschillende cyberdreigingen te beperken, waarbij het belang wordt benadrukt van proactieve maatregelen zoals applicatiecontrole, patching, het beperken van beheerdersrechten, multi-factor authenticatie (MFA) en regelmatige back-ups.

Volgens Edward Farrell, CEO en hoofdadviseur bij Mercury Information Security Services, zijn de Essential Eight ontstaan uit een analyse van de grondoorzaken van cyberinbraken gedurende bijna een decennium.

“Het was oorspronkelijk de top vier die deel uitmaakte van de 35 maatregelen om cyberinbraken aan te pakken”, vertelt Farrell aan ISMS.online. “Vandaag is het ingebouwd in de Essential Eight, die een overvloed aan nieuwe aanvallen aanpakte die ze tegenkwamen. Dus zaken als Office-macro's, het schenden van MFA, het schenden van gebruikersnaam en wachtwoord door het raden van wachtwoorden, en problemen met Java en Flash, en nog veel meer.”

RFFR vormt een aanvulling op de Essential Eight door een meer op maat gemaakte aanpak te bieden voor het beheersen van cyberbeveiligingsrisico's. Het richt zich op het begrijpen en aanpakken van specifieke kwetsbaarheden binnen een organisatie, waardoor een cultuur van continue verbetering en risicobeheer wordt gestimuleerd. Samen helpen deze overheidsinitiatieven organisaties niet alleen om zich te beschermen tegen bekende bedreigingen, maar ook om zich aan te passen en te reageren op nieuwe uitdagingen wanneer deze zich voordoen, waardoor een robuuste cyberbeveiligingshouding wordt gewaarborgd in het licht van de zich ontwikkelende bedreigingen.

Overtredingen in overvloed

Een recente golf van datalekken in Australië onderstreept de escalerende uitdaging waarmee binnenlandse organisaties worden geconfronteerd. Een Australische informatierapport van de commissaris voor januari tot en met juni 2023 zijn in totaal 409 inbreuken aan het licht gekomen, wat een lichte daling laat zien ten opzichte van de voorgaande periode, maar de aanhoudende dreiging onderstreept, waarbij kwaadwillige of criminele aanvallen verantwoordelijk zijn voor 70% van deze incidenten. De gezondheidszorg en de financiële sector kwamen naar voren als de grootste slachtoffers.

Geen enkele organisatie is vandaag de dag echter veilig voor mogelijke compromissen. Opmerkelijke recente incidenten omvatten een inbreuk bij Woolworths-dochter MyDeal, die naar schatting 2.2 miljoen klanten treft, en incidenten die gevolgen hebben voor entiteiten als Nissan, Wollongong University, Boeing, Sony, Duolingo, Pizza Hut en DP World Australia. Deze varieerden van ransomware-aanvallen en data-scraping tot diefstal van gevoelige klant- en werknemersinformatie.

De diversiteit en frequentie van deze incidenten benadrukken het belang van het implementeren van robuuste cyberbeveiligingsmaatregelen zoals de Essential Eight en RFFR, om veerkracht op te bouwen in het licht van de toenemende cyberrisico’s.

De cybersecurity-push van de Albanese regering

Als reactie op het zich ontwikkelende dreigingslandschap heeft de Albanese regering belangrijke stappen gezet om de cyberveiligheid van het land te versterken een nieuwe nationale cyberbeveiligingsstrategie.

Farrell suggereert echter de noodzaak van een meer genuanceerde strategie, afgestemd op de unieke behoeften van specifieke Australische organisaties en sectoren.

“De realiteit is dat we in 2018 cybergezondheidscontroles bij kleine bedrijven uitvoerden… en dat die niet echt van de grond kwamen”, betoogt hij.

Essentiële Acht versus ISO 27001

De Essential Eight richt zich op praktische strategieën om cyberveiligheidsincidenten te beperken, specifiek toegesneden op de bestrijding van veelvoorkomende cyberdreigingen. De eenvoudige, uitvoerbare maatregelen zijn ontworpen voor onmiddellijke implementatie en omvatten aspecten als het op de witte lijst zetten van applicaties, het patchen van applicaties en het beperken van beheerdersrechten. Het is met name effectief voor organisaties die op zoek zijn naar duidelijke, directe richtlijnen om hun veerkracht op het gebied van cyberbeveiliging te vergroten.

ISO 27001 biedt daarentegen een alomvattend raamwerk voor het beheer van informatiebeveiliging via een Information Security Management System (ISMS). Het biedt een holistische benadering van informatiebeveiliging, die niet beperkt is tot cyberdreigingen, maar alle vormen van informatiebeveiliging omvat. ISO 27001 vereist dat organisaties hun informatiebeveiligingsrisico's beoordelen en passende controles implementeren die zijn afgestemd op hun specifieke behoeften. Deze norm legt de nadruk op continue verbetering en naleving van een reeks gespecificeerde eisen.

RFFR versus ISO 27001

RFFR ligt dichter bij ISO 27001. Het moedigt organisaties aan een risicobeheeraanpak te hanteren die is afgestemd op hun specifieke operationele context. Het sluit nauw aan bij de risicobeoordelings- en beheerprincipes van ISO 27001, maar is specifiek gecontextualiseerd voor de Australische cyberbeveiligingsomgeving. Terwijl ISO 27001 een breed raamwerk biedt dat toepasbaar is in verschillende industrieën wereldwijd, richt RFFR zich op de unieke cyberveiligheidsrisico's waarmee Australische entiteiten worden geconfronteerd.

Een bredere aanpak

Australische organisaties wordt geadviseerd om de Essential Eight, RFFR en ISO 27001 te integreren voor een goed afgeronde cyberbeveiligingsstrategie.

"Frameworks zijn geweldig als het een heel nette, opgeruimde omgeving is... terwijl ik denk dat contextuele veranderingen en het begrijpen van het domein waarin je werkt elke keer zal variëren", betoogt Farrell.

Hij benadrukt het belang van aanpassingsvermogen. En de noodzaak voor organisaties om niet alleen de fundamentele beveiligingsmaatregelen van de Essential Eight te implementeren, maar ook de bredere governance- en risicobeheeraspecten van ISO 27001 en de gecontextualiseerde risicostrategieën van RFFR.

Het implementeren van de raamwerken

Het implementeren van cybersecurity-initiatieven zoals de Essential Eight, RFFR en ISO 27001 kan complex zijn, maar een gerichte aanpak helpt uitdagingen het hoofd te bieden. Volgens Phillip Ivancic, hoofd oplossingen bij APAC bij de Synopsys Software Integrity Group, is een van de grootste hindernissen het handhaven van een cultuur waarin beveiligingscontroles consequent worden toegepast, zelfs als dit lastig is.

“De Essential Eight zelf beveelt basisstappen aan zoals het onderhouden van patches, het beperken van administratieve toegang en het garanderen dat back-ups worden onderhouden en getest. Allemaal ogenschijnlijk eenvoudige en verstandige bedieningselementen. Maar als ze met klanten praten, is de grootste uitdaging waarmee ze worden geconfronteerd het handhaven van een cultuur waarin deze controles dag in dag uit worden uitgevoerd”, vertelt hij aan ISMS.online.

“Personeelsleden moeten het belang ervan begrijpen, en er moet een cultuur zijn die deze basiscontroles in stand houdt, zelfs als ze niet handig zijn. Het is simpelweg geen ‘eenmalig’ werkstuk, maar een raamwerk voor doorlopende disciplines.”

Om Essential Eight en ISO 27001 in de praktijk te brengen, moet je omgaan met uitdagingen zoals de toewijzing van middelen, integratie met huidige systemen, evoluerende bedreigingen en het vergroten van het bewustzijn van medewerkers. Om dit te bereiken moeten organisaties grondige risicobeoordelingen uitvoeren om prioriteiten te stellen, voldoende middelen toe te wijzen, een gefaseerde aanpak te hanteren om de complexiteit te beheersen, een beveiligingsbewuste cultuur te cultiveren en regelmatig beveiligingspraktijken bij te werken om nieuwe bedreigingen het hoofd te bieden.

“Voor grotere organisaties is het automatiseren van kwetsbaarheidsbeheer via Application Security Posture Management (ASPM)-tools, waarbij handmatige penetratietestresultaten automatisch worden vergeleken met scantools met geprioriteerde aanbevelingen, de grootste trend onder mijn klanten”, voegt Ivancic toe.

Door externe expertise in te schakelen en automatisering in te zetten voor efficiëntie kunnen organisaties hun cyberbeveiligingsverdediging op een praktische en duurzame manier versterken. Voortdurende educatie blijft van cruciaal belang om ervoor te zorgen dat alle personeelsleden het belang van de veiligheidscontroles begrijpen en gedisciplineerd zijn in het consequent handhaven ervan.

De toekomst van de Australische cyberbeveiliging

Terwijl Australië door een evoluerend dreigingslandschap navigeert, blijven initiatieven als de Essential Eight en RFFR en best practice-normen zoals ISO 27001 hoekstenen van een proactieve benadering van cyberbeveiliging.

Anticiperend op toekomstige overheidsinitiatieven suggereert Farrell een impuls in de richting van “het verbeteren van de samenwerking tussen de publieke en private sector” en een aanzienlijke investering in “cyberveiligheidseducatie en de ontwikkeling van het personeelsbestand”. Deze inspanningen zouden moeten helpen de uitwisseling van informatie over dreigingen en informatie over kwetsbaarheden te verbeteren, en uiteindelijk een veerkrachtiger ecosysteem voor cyberbeveiliging in heel Australië te bevorderen.

Er wordt ook verwacht dat de beste praktijkkaders en standaarden zich zullen ontwikkelen in lijn met het dreigingslandschap. De uitdaging zal, zoals altijd, zijn om te voorkomen dat we de cybercriminaliteitsgemeenschap inhalen.

René Millman

Rene Millman is een veelzijdige freelanceschrijver en presentator, gespecialiseerd in cybersecurity, AI, IoT en cloudtechnologieën. Naast zijn rol als bijdragend analist bij GigaOm, brengt hij uitgebreide ervaring met zich mee als voormalig Gartner-analist die zich richt op de infrastructuurmarkt. Rene Millman staat bekend om zijn expertise en heeft regelmatig televisieoptredens gedaan, waarbij hij inzichten en analyses deelde over technologietrends en invloedrijke bedrijven die ons dagelijks leven vormgeven. Blijf op de hoogte van de inzichten van Rene Millman door hem te volgen op Twitter.

Lees meer van Rene Millman

Cyber security 13 januari 2026

leven na de deadline: van naleving van de regelgeving tot operationele stabiliteit.

Leven na de deadline: DORA-naleving omzetten in operationele stabiliteit

De paniek rond januari 2025 is definitief voorbij. Maar voor de meest succesvolle leiders in de financiële sector is het echte werk, en de echte beloning, pas begonnen...

René Millman

Cyber security 13 augustus 2024

de crowdstrike-storing is een pleidooi voor het versterken van de incidentrespons met de ISO 27001-banner

De CrowdStrike-storing: een pleidooi voor het versterken van incidentrespons met ISO 27001

In juli 2024 leidde een mislukte software-update van CrowdStrike tot een aanzienlijke wereldwijde IT-storing, die gevolgen had voor talloze organisaties, waaronder luchtvaartmaatschappijen,...

René Millman

Cyber security 16 July 2024

het vermijden van de volgende medische cyberveiligheidslessen voor bedrijven

De volgende MediSecure vermijden: cyberbeveiligingslessen voor bedrijven

De cybersecuritycatastrofe van MediSecure is een duidelijke wake-upcall voor bedrijven: verwaarloos uw digitale verdediging niet, anders loopt u het risico...

René Millman