希望建立澳大利亞國家身份系統(tǒng)并通過區(qū)塊鏈進行投票的政府所有實體已被審計辦公室稱為不具備“網(wǎng)絡(luò)彈性”。澳大利亞國家審計署(ANAO)稱澳大利亞郵政沒有有效管理網(wǎng)絡(luò)安全風(fēng)險，報告強調(diào)了郵政服務(wù)實施其風(fēng)險管理框架的弱點。在審計長的政府企業(yè)和企業(yè)聯(lián)邦實體的績效審計網(wǎng)絡(luò)彈性[PDF]中，ANAO建議澳大利亞郵政繼續(xù)實施其網(wǎng)絡(luò)安全改進計劃和所有關(guān)鍵資產(chǎn)的關(guān)鍵控制，以使網(wǎng)絡(luò)風(fēng)險在其容忍水平內(nèi)。雖然ANAO稱澳大利亞郵政具有適合目的的網(wǎng)絡(luò)安全風(fēng)險管理框架，但它表示，如果沒有實施所有指定的密鑰控制，它實際上無法滿足要求。

ANAO寫道：“澳大利亞郵政沒有完全實施控制，符合”必要八強“中的前四強或四強非強制性策略。

該基本八-政府規(guī)定的四強減災(zāi)戰(zhàn)略的延伸-在2017年年初擴大它涵蓋了應(yīng)用程序白名單，要求實體修補應(yīng)用程序和操作系統(tǒng)，禁用Office宏，加強用戶的應(yīng)用，限制管理權(quán)限，設(shè)置多因素身份驗證，并執(zhí)行每日備份。

澳大利亞郵政實施了四大緩解策略中的兩項 - 修補IT應(yīng)用程序并最大限度地減少特權(quán)用戶訪問。就Essential Eight而言，澳大利亞郵政已實施僅每日一次的數(shù)據(jù)備份控制。

報告稱，“雖然已經(jīng)在13項評估行為和實踐中嵌入了8項，但澳大利亞郵政還沒有系統(tǒng)地管理網(wǎng)絡(luò)風(fēng)險，包括不評估在其指定的網(wǎng)絡(luò)安全風(fēng)險管理框架之外應(yīng)用的控制措施的有效性。”

ANAO表示雖然澳大利亞郵政不具備網(wǎng)絡(luò)彈性，但它具有內(nèi)部彈性，并指出這與許多以前被審計的實體類似。ANAO表示，澳大利亞郵政正致力于在其組織內(nèi)部嵌入“網(wǎng)絡(luò)復(fù)原力文化”。

“澳大利亞郵政在其框架內(nèi)未滿足ICT控制的要求，未實施所有指定的關(guān)鍵控制措施，因此將整體網(wǎng)絡(luò)風(fēng)險評級顯著高于其規(guī)定的容忍水平，”ANAO繼續(xù)說道。這個有210年歷史的郵政服務(wù)包含以下框架的各個方面：澳大利亞政府信息安全手冊;美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架;ISO / IEC 27002信息技術(shù) - 安全技術(shù) - 信息安全控制的操作規(guī)范;和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)。

此次審計的顯微鏡下還有澳大利亞儲備銀行(RBA)和ASC Pty Ltd，這是一家涉及海軍造船的澳大利亞政府企業(yè)。

ANAO發(fā)現(xiàn)，RBA和ASC都有效地管理了網(wǎng)絡(luò)安全風(fēng)險，并且兩者都實施了符合“信息安全手冊”要求的控制措施，包括“必要八強”中的四大和其他緩解策略。

在報告適用于ASC和RBA的網(wǎng)絡(luò)安全風(fēng)險管理框架時，報告稱兩個組織通過實施支持臺式計算機，IT服務(wù)器和系統(tǒng)的指定IT控制來滿足各自框架的要求。

ANAO表示，儲備銀行和ASC具有網(wǎng)絡(luò)彈性，與過去五年審計的其他15家實體相比，具有較高的彈性。具體而言，RBA具有強大的網(wǎng)絡(luò)彈性文化，而ASC正在發(fā)展其文化。

兩者都滿足了實施其網(wǎng)絡(luò)安全風(fēng)險管理框架中所包含的IT控制的要求，并且兩者都實施了符合前四大要求的控制措施。

ANAO表示，RBA已經(jīng)走得更遠，實施了超越Essential Eight要求的緩解策略，例如使用機器學(xué)習(xí)和分析來檢測網(wǎng)絡(luò)威脅。

報告稱，“儲備銀行擁有強大的網(wǎng)絡(luò)復(fù)原力文化，在網(wǎng)絡(luò)安全治理和風(fēng)險管理，角色和責(zé)任，技術(shù)支持和監(jiān)督合規(guī)性等領(lǐng)域建立了所有13種評估行為和做法。”

“ASC正在開發(fā)一種網(wǎng)絡(luò)彈性文化，嵌入了七種評估的行為和做法，并努力在其業(yè)務(wù)流程中更全面地建立其他六種網(wǎng)絡(luò)安全行為和做法。”

ANAO表示，它根據(jù)每個實體收集，存儲和報告的信息的性質(zhì)和敏感性選擇了三個實體進行審計，包括實體管理關(guān)鍵基礎(chǔ)設(shè)施或國家利益系統(tǒng)。

“盡管網(wǎng)絡(luò)安全對于保護澳大利亞政府的數(shù)字信息具有重要意義，但非企業(yè)聯(lián)邦實體的網(wǎng)絡(luò)恢復(fù)能力仍然很低，而且監(jiān)管框架中存在弱點，無法確保遵守強制性網(wǎng)絡(luò)安全戰(zhàn)略，”ANAO補充說。

自2013 - 14年信息安全手冊成為非公司英聯(lián)邦實體的強制性政策以來，審計長已提交了四項績效審計，評估了14個此類實體的網(wǎng)絡(luò)安全復(fù)原力。

它表示，審計發(fā)現(xiàn)，只有四家實體(29%)遵守了政府對信息安全的強制性要求，而監(jiān)管框架并沒有推動網(wǎng)絡(luò)安全的充分改善。

在之前的ANAO對網(wǎng)絡(luò)彈性的審計中，地球科學(xué)澳大利亞被認為缺乏四大緩解策略所處的位置。

在ANAO調(diào)查之后，澳大利亞地球科學(xué)家同意提升其安全態(tài)勢，并告知3月份公共賬戶和審計聯(lián)合委員會將在6月30日之前遵守前四名。

其首席執(zhí)行官詹姆斯約翰遜博士承認，網(wǎng)絡(luò)安全以前不是政府機構(gòu)的優(yōu)先事項。

正如ZDNet在2月報道的那樣，為了修復(fù)其文化，澳大利亞地球科學(xué)通過學(xué)習(xí)“領(lǐng)導(dǎo)”其他人的方式，將其員工融入政府所有企業(yè)的世界。

澳大利亞地球科學(xué)計算機科學(xué)計算主任Ole Nielson解釋說，這是澳大利亞郵政。

“我們最終派遣四名工作人員到墨爾本前往澳大利亞郵政工作100天，以便在內(nèi)部學(xué)習(xí)他們的文化，并在一日游中飛行另外30或40人，看看他們?nèi)绾问褂贸掷m(xù)交付和云工程，”Nielson告訴堪培拉的公共部門數(shù)字化轉(zhuǎn)型與優(yōu)化會議。“從那時起，它們成為了新云計算能力的核心。”