Wat betekent de Australische cyberbeveiligingsstrategie voor uw bedrijf?

De Australische regering heeft geen gebrek aan ambitie. Bij de lancering van zijn nieuwe Cyberveiligheidsstrategie 2023-2030 in november beweerde het document dat het een routekaart zou bieden om tegen de einddatum een ​​“wereldleider” op dit gebied te worden. Er is nog een lange weg te gaan, gezien de golf van spraakmakende inbreuken van de afgelopen jaren.

De boodschap die het uitdraagt ​​is duidelijk: voor aanbieders van kritieke infrastructuur (CNI) en technologiefabrikanten zullen er nieuwe verplichtingen komen die bedoeld zijn om de lat voor cyberbeveiliging hoger te leggen. Voor reguliere bedrijven is er ondersteuning en duidelijkheid beloofd, bedoeld om de basisveiligheidsnormen te helpen verbeteren.

Australische organisaties zouden de nieuwe overheidsstrategie daarom als een kans moeten beschouwen. Degenen die vandaag de leemten op het gebied van de beveiliging aanpakken, zullen merken dat ze morgen meer tijd hebben om zich te concentreren op de groei van hun bedrijf, in plaats van zich zorgen te maken over het voldoen aan de eisen van de overheid. Voor degenen die niet onder een specifiek mandaat vallen, kan het een nuttig moment zijn om de veiligheidsstrategie te herzien en bij te werken.

Waarom heeft Australië een nieuwe cyberstrategie nodig?

Australische organisaties zijn een steeds populairder doelwit voor door de staat gesteunde en financieel gemotiveerde dreigingsactoren. Het Australische Directoraat Signalen (ASD) vorderingen dat er tijdens het boekjaar 2022-23 via ReportCyber ​​bijna 94,000 meldingen zijn gedaan bij de wetshandhavingsinstanties. Dat komt neer op één keer per zes minuten – hoewel er waarschijnlijk nog veel meer niet gerapporteerd zullen zijn. Het belicht verschillende uitdagingen:

⦁ Statelijke actoren die overheids- en CNI-activa aanvallen voor spionage en verstoring – vooral potentiële IP-diefstal als gevolg van het AUKUS-partnerschap
⦁ Een groeiende bedreiging voor CNI door externe actoren, zoals de inval tegen DP World
⦁ Een golf van ransomware- en DDoS-aanvallen
⦁ Grote datalekken, waaronder grote namen als Optus, Medibank, Telstra en Latitude
⦁ De snelheid waarmee nieuwe kwetsbaarheden worden uitgebuit. Volgens de ASD werd één op de vijf binnen 48 uur gebruikt

Niet alleen zijn de meldingen van cybercriminaliteit jaarlijks met 23% gestegen, maar de kosten van elk incident zijn ook met 14% gestegen, zegt de ASD.

Wat staat er in de cyberstrategie?

De Australische Cyber ​​Security Strategie bestaat uit zes ‘cyberschilden’ die de volgende gebieden bestrijken:

1) Ondersteuning van het MKB en burgers om de cyberbeveiliging te versterken
2) Verbetering van de veiligheid van technologie voor Australiërs
3) Het creëren van een netwerk voor het delen en blokkeren van bedreigingen van wereldklasse
4) Bescherming van kritieke infrastructuur
5) Verbetering van de binnenlandse cyberbeveiligingsindustrie en het personeelsbestand
6) Het bieden van veerkrachtig regionaal en mondiaal leiderschap

Elk van deze schilden bevat verschillende actie-items die vermeld staan ​​in de lijst van de overheid Actieplan. Vanuit het perspectief van informatiebeveiliging zijn de belangrijkste onderdelen van de strategie schilden 1-4. Ze omvatten overheidsplannen om:

Schild 1:

⦁ Creëer gezondheidscontroles en begeleiding voor het MKB
⦁ Werk samen met de industrie om een ​​rapportageverplichting voor ransomware zonder aansprakelijkheid voor bedrijven te ontwerpen
⦁ De industrie voorzien van informatie over cybergovernanceverplichtingen onder de huidige regelgeving

Schild 2:

⦁ Samenwerken met de industrie om samen een verplichte cyberbeveiligingsnorm en een vrijwillig etiketteringsprogramma te ontwerpen
⦁ Co-ontwerpen van een vrijwillige beveiligingscode voor appstores en app-ontwikkelaars
⦁ Ontwikkel een raamwerk om de nationale veiligheidsrisico’s te beoordelen die gepaard gaan met producten en diensten van leveranciers
⦁ Ontwikkel opties om de meest gevoelige en kritische datasets van Australië te beschermen, die niet op passende wijze worden beschermd onder de bestaande regelgeving
⦁ Integreer cyberbeveiliging om ervoor te zorgen dat AI veilig en verantwoord wordt ontwikkeld en gebruikt
⦁ Stel normen vast voor post-kwantumcryptografie

Schild 3:

⦁ Stimuleer de deelname van de industrie aan platforms voor het delen van bedreigingen
⦁ Stimuleer het blokkeren van bedreigingen in de hele economie, vooral bij CNI-bedrijven zoals telecombedrijven en ISP's

Schild 4:

⦁ Stem telecombedrijven af ​​op dezelfde normen als andere CNI-entiteiten
⦁ Verduidelijk de regelgeving voor managed service providers
⦁ Integreer cyberregulering in de luchtvaart- en maritieme sector
⦁ Bescherm de kritieke gegevens van de CNI-providers
⦁ Activeer verbeterde cyberbeveiligingsverplichtingen voor “systemen van nationaal belang”
⦁ Voltooi een raamwerk voor nalevingsmonitoring en -evaluatie voor CNI
⦁ Breid de regelingen voor crisisrespons uit
⦁ Versterk de cybervolwassenheid van overheidsdepartementen en -agentschappen, inclusief zero trust
⦁ Wijs 'systemen van overheidsbelang' aan die moeten worden beschermd met een hoger niveau van cyberbeveiliging
⦁ Voer nationale cyberbeveiligingsoefeningen uit in de hele economie
⦁ Bouw draaiboeken voor incidentrespons

Wat moeten Australische organisaties doen?

Hoewel de meest prescriptieve eisen gelden voor CNI-bedrijven en technologieleveranciers, zijn er enkele quick wins waar allerlei soorten organisaties op kunnen mikken, aldus Jacqueline Jayne, APAC-advocaat op het gebied van beveiligingsbewustzijn bij KnowBe4.

“De grootste kloof is het aanpakken van menselijke fouten, en dit is wereldwijd consistent”, vertelt ze aan ISMS.online. “Implementeer dus een doorlopend, relevant en boeiend beveiligingsbewustzijnsprogramma dat de mogelijkheid biedt om die nieuwe kennis toe te passen met gesimuleerde social engineering-activiteiten.”

Andere eenvoudig te bereiken best practices zijn onder meer het inschakelen van multi-factor authenticatie (MFA) en het inzetten van wachtwoordmanagers voor sterke, unieke wachtwoorden, evenals het garanderen dat automatische updates zijn ingeschakeld en dat er regelmatig offline een back-up van gegevens wordt gemaakt. “Irrelevante of verouderde gegevens” zouden dat ook moeten zijn beheerd “op passende wijze” om de blootstelling aan risico’s te minimaliseren, voegt ze eraan toe.

Voor Inversion6 CISO Damir Brescic zou het eerste aanspreekpunt voor Australische organisaties een risicobeoordeling moeten zijn om een ​​basislijn vast te stellen voor het identificeren en prioriteren van bedreigingen. Encryptie van gevoelige gegevens, netwerksegmentatie om de verspreiding van aanvallen te beperken, planning van incidentrespons, continue monitoring/analyse van beveiligingslogboeken en het naleven van het toegangsbeleid van de minste privileges zijn ook belangrijk, voegt hij eraan toe.

“Als een organisatie haar algehele cybersecurity-houding wil verbeteren, begin dan met een aantal verbeteringen en voer jaarlijks een evaluatie uit om er zeker van te zijn dat uw algehele houding blijft verbeteren en volwassener wordt”, vertelt hij aan ISMS.online.

Marty Rickard, directeur technische ondersteuning van Nozomi Networks, waarschuwt voor de gevaren van ‘schaduw’-apparaten die mogelijk onbeheerd en ongepatcht zijn. “Naarmate IoT-apparaten op grotere schaal worden gebruikt en geaccepteerd, nemen de risico’s die eraan verbonden zijn toe. Apparaten met een slechte of onbekende herkomst zullen waarschijnlijk resulteren in grotere hoeveelheden en ernst van kwetsbaarheden en risico's”, vertelt hij aan ISMS.online.

“Organisaties moeten kijken naar de implementatie van software stuklijsten (SBOM’s) en leveranciersbeveiligingsbeheerprocessen, niet alleen voor IoT-apparaten. Deze apparaten moeten zorgvuldig worden geselecteerd en ingezet in goed beveiligde enclaves binnen de infrastructuur van een organisatie om de blootstelling en de potentiële gevolgen van misbruik van een onbekende kwetsbaarheid te beperken.”

Hoe ISO 27001 en Best Practice Frameworks kunnen helpen

Een groot deel van het bovenstaande advies komt overeen met de aanbevelingen van de ASS Strategieën om cyberveiligheidsincidenten te beperken. De Essentiële Acht is een beknopte lijst die beter beheersbaar zal zijn voor kleinere organisaties en organisaties die lager op de cybervolwassenheidsschaal staan.

Grotere organisaties kunnen echter ook profiteren van naleving van ISO 27001. Deze wereldwijd erkende standaard beschrijft de eisen voor een Information Security Management System (ISMS). Compliance kan de basisbeveiliging helpen verbeteren en de zekerheid bieden dat kritieke bedrijfsmiddelen worden beschermd via 93 controles, gegroepeerd onder organisatorisch, menselijk, fysiek en technologisch.

“Australische bedrijven hebben ondersteuning nodig om zich te verdedigen tegen veelvoorkomende bedreigingen en om hun cybervertrouwen te ontwikkelen”, stelt Jamie Akhtar, CEO van CyberSmart. “Normen als ISO 27001 kunnen hen hierbij helpen door hen in staat te stellen een cultuur van voortdurende verbetering van hun cyberbeveiligingspraktijken op te bouwen – waardoor zij en Australië uiteindelijk beter toegerust zijn om cyberdreigingen te bestrijden.”

Als de regering haar ‘wereldleidende’ ambities wil waarmaken, zullen Australische organisaties proactief moeten worden in het beperken van cyberrisico’s. Industriekaders en -standaarden kunnen op deze reis een belangrijke bondgenoot zijn.

“Of het nu gaat om naleving van ISO 27001, de Essential Eight, NIST of een ander raamwerk, elke organisatie moet het meest geschikte raamwerk vinden dat aansluit bij hun organisatie”, besluit Jayne van KnowBe4.