Was bedeutet die australische Cyber-Sicherheitsstrategie für Ihr Unternehmen?

Der australischen Regierung mangelt es nicht an Ehrgeiz. Beim Start seines neuen Cyber-Sicherheitsstrategie 2023–2030 Im November behauptete es, das Dokument werde einen Fahrplan bieten, um bis zum Enddatum ein „Weltmarktführer“ auf diesem Gebiet zu werden. Angesichts einer Flut von aufsehenerregenden Verstößen in den letzten Jahren ist es noch ein langer Weg.

Die Botschaft ist klar: Für Anbieter kritischer Infrastrukturen (CNI) und Technologiehersteller wird es neue Verpflichtungen geben, die die Messlatte für Cybersicherheit höher legen sollen. Für normale Unternehmen werden Unterstützung und Klarheit versprochen, die dazu beitragen sollen, die grundlegenden Sicherheitsstandards zu verbessern.

Australische Organisationen sollten daher die neue Regierungsstrategie als Chance betrachten. Wer sich heute mit Sicherheitslücken befasst, wird feststellen, dass er morgen mehr Zeit hat, sich auf das Wachstum seines Unternehmens zu konzentrieren, anstatt sich um die Erfüllung staatlicher Anforderungen zu kümmern. Für diejenigen, die nicht durch spezifische Mandate abgedeckt sind, könnte es ein nützlicher Moment sein, die Sicherheitsstrategie zu überdenken und zu aktualisieren.

Warum braucht Australien eine neue Cyber-Strategie?

Australische Organisationen sind ein zunehmend beliebtes Ziel für staatlich unterstützte und finanziell motivierte Bedrohungsakteure. Das Australian Signals Directorate (ASD) aus aller Welt dass im Geschäftsjahr 2022–23 fast 94,000 Meldungen über ReportCyber ​​an die Strafverfolgungsbehörden übermittelt wurden. Das entspricht einer Störung alle sechs Minuten – obwohl wahrscheinlich noch viele weitere nicht gemeldet wurden. Es werden mehrere Herausforderungen hervorgehoben:

⦁ Staatliche Akteure greifen Regierungs- und CNI-Vermögenswerte für Spionage und Störung an – insbesondere potenziellen IP-Diebstahl aufgrund der AUKUS-Partnerschaft
⦁ Eine wachsende Bedrohung für CNI durch entfernte Akteure, wie zum Beispiel die Razzia gegen DP Welt
⦁ Ein Anstieg von Ransomware- und DDoS-Angriffen
⦁ Schwerwiegende Datenschutzverletzungen, darunter große Namen wie Optus, Medibank, Telstra und Latitude
⦁ Die Geschwindigkeit, mit der neue Schwachstellen ausgenutzt werden. Laut ASD wurde jeder Fünfte innerhalb von 48 Stunden verschuldet

Laut ASD sind nicht nur die Meldungen über Cyberkriminalität jährlich um 23 % gestiegen, sondern auch die Kosten pro Vorfall sind um 14 % gestiegen.

Was steht in der Cyber-Strategie?

Die australische Cyber-Sicherheitsstrategie besteht aus sechs „Cyber-Schutzschilden“, die die folgenden Bereiche abdecken:

1) Unterstützung von KMU und Bürgern bei der Stärkung der Cybersicherheit
2) Verbesserung der Technologiesicherheit für Australier
3) Schaffung eines erstklassigen Netzwerks zum Teilen und Blockieren von Bedrohungen
4) Schutz kritischer Infrastruktur
5) Stärkung der heimischen Cybersicherheitsbranche und der Arbeitskräfte
6) Bereitstellung einer belastbaren regionalen und globalen Führung

Jeder dieser Schilde enthält verschiedene Aktionselemente, die in der Regierung aufgeführt sind Aktionsplan. Aus Sicht der Informationssicherheit sind die Schutzschilde 1–4 die wichtigsten Teile der Strategie. Dazu gehören Regierungspläne für:

Schild 1:

⦁ Erstellen Sie Gesundheitschecks und Anleitungen für KMU
⦁ Arbeiten Sie mit der Industrie zusammen, um eine haftungsfreie Meldepflicht für Ransomware für Unternehmen zu entwickeln
⦁ Stellen Sie der Industrie Informationen zu Cyber-Governance-Verpflichtungen gemäß der aktuellen Regulierung zur Verfügung

Schild 2:

⦁ Zusammenarbeit mit der Industrie, um gemeinsam einen verbindlichen Cybersicherheitsstandard und ein freiwilliges Kennzeichnungssystem zu entwerfen
⦁ Mitgestaltung eines freiwilligen Sicherheitskodex für App-Stores und App-Entwickler
⦁ Entwickeln Sie einen Rahmen zur Bewertung nationaler Sicherheitsrisiken, die von Produkten und Dienstleistungen der Anbieter ausgehen
⦁ Entwickeln Sie Optionen zum Schutz der sensibelsten und kritischsten Datensätze Australiens, die durch die bestehenden Vorschriften nicht angemessen geschützt sind
⦁ Integrieren Sie Cybersicherheit, um sicherzustellen, dass KI sicher und verantwortungsbewusst entwickelt und genutzt wird
⦁ Setzen Sie Standards für die Post-Quanten-Kryptographie

Schild 3:

⦁ Anreize für die Beteiligung der Branche an Plattformen zum Teilen von Bedrohungen schaffen
⦁ Anreize zur Abwehr von Bedrohungen in der gesamten Wirtschaft schaffen, insbesondere bei CNI-Unternehmen wie Telekommunikationsunternehmen und ISPs

Schild 4:

⦁ Richten Sie Telekommunikationsunternehmen an denselben Standards aus wie andere CNI-Unternehmen
⦁ Klärung der Regulierung von Managed Service Providern
⦁ Integrieren Sie die Cyberregulierung in den Luft- und Seeverkehr
⦁ Schützen Sie die kritischen Daten der CNI-Anbieter
⦁ Aktivieren Sie erweiterte Cybersicherheitsverpflichtungen für „Systeme von nationaler Bedeutung“
⦁ Fertigstellung eines Compliance-Überwachungs- und Bewertungsrahmens für CNI
⦁ Erweitern Sie die Regelungen zur Krisenreaktion
⦁ Stärkung der Cyber-Reife von Regierungsabteilungen und -behörden, einschließlich Zero Trust
⦁ Benennen Sie „Systeme von staatlicher Bedeutung“, die mit einem höheren Maß an Cybersicherheit geschützt werden müssen
⦁ Führen Sie landesweite Cybersicherheitsübungen in der gesamten Wirtschaft durch
⦁ Erstellen Sie Playbooks für die Reaktion auf Vorfälle

Was sollten australische Organisationen tun?

Während die strengsten Anforderungen für CNI-Firmen und Technologieanbieter gelten, gibt es laut Jacqueline Jayne, Befürworterin des APAC-Sicherheitsbewusstseins bei KnowBe4, einige schnelle Erfolge, die Organisationen aller Art anstreben können.

„Die größte Lücke besteht im Umgang mit menschlichem Versagen, und das ist weltweit gleichbleibend“, sagt sie gegenüber ISMS.online. „Implementieren Sie also ein fortlaufendes, relevantes und ansprechendes Sicherheitsbewusstseinsprogramm, das die Möglichkeit bietet, dieses neue Wissen mit simulierten Social-Engineering-Aktivitäten anzuwenden.“

Weitere einfach umzusetzende Best Practices umfassen die Aktivierung der Multi-Faktor-Authentifizierung (MFA) und die Bereitstellung von Passwort-Managern für sichere, eindeutige Passwörter sowie die Sicherstellung, dass automatische Updates aktiviert sind und Daten regelmäßig offline gesichert werden. „Irrelevante oder veraltete Daten“ sollten ebenfalls lauten verwaltet „angemessen“, um die Risikoexposition zu minimieren, fügt sie hinzu.

Für Damir Brescic, CISO von Inversion6, sollte die erste Anlaufstelle für australische Organisationen eine Risikobewertung sein, um eine Grundlage für die Identifizierung und Priorisierung von Bedrohungen zu schaffen. Wichtig seien auch die Verschlüsselung sensibler Daten, die Netzwerksegmentierung zur Begrenzung der Ausbreitung von Angriffen, die Planung der Reaktion auf Vorfälle, die kontinuierliche Überwachung/Analyse von Sicherheitsprotokollen und die Einhaltung der Zugriffsrichtlinie der geringsten Rechte, fügt er hinzu.

„Wenn ein Unternehmen seine Cybersicherheitslage insgesamt verbessern möchte, beginnen Sie mit einer Reihe von Verbesserungen und führen Sie eine jährliche Überprüfung durch, um sicherzustellen, dass sich Ihre Gesamtlage weiter verbessert und reift“, sagt er gegenüber ISMS.online.

Marty Rickard, Leiter des technischen Supports von Nozomi Networks, warnt vor den Gefahren von „Schatten“-Geräten, die möglicherweise nicht verwaltet und nicht gepatcht werden. „Mit zunehmender Verbreitung und Akzeptanz von IoT-Geräten nehmen die damit verbundenen Risiken zu. Geräte mit schlechter oder unbekannter Herkunft führen wahrscheinlich zu größeren Mengen und Schweregraden von Schwachstellen und Risiken“, sagt er gegenüber ISMS.online.

„Organisationen sollten auf die Implementierung von Software-Stücklisten (SBOMs) und Anbietersicherheitsmanagementprozessen achten, nicht nur für IoT-Geräte. Diese Geräte sollten sorgfältig ausgewählt und in entsprechend gesicherten Enklaven innerhalb der Infrastruktur einer Organisation eingesetzt werden, um die Gefährdung und die potenziellen Auswirkungen der Ausnutzung einer unbekannten Schwachstelle zu begrenzen.“

Wie ISO 27001 und Best Practice Frameworks helfen können

Viele der oben genannten Ratschläge stimmen mit den Empfehlungen der ASDs überein Strategien zur Eindämmung von Cyber-Sicherheitsvorfällendem „Vermischten Geschmack“. Seine Essentielle Acht ist eine abgespeckte Liste, die für kleinere Organisationen und solche, die auf der Cyber-Reife-Skala weiter unten stehen, besser zu handhaben ist.

Allerdings können auch größere Organisationen von der ISO 27001-Konformität profitieren. Dieser weltweit anerkannte Standard legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. Compliance kann dazu beitragen, die Grundsicherheit zu verbessern und sicherzustellen, dass kritische Vermögenswerte durch 93 Kontrollen geschützt sind, die in organisatorische, personelle, physische und technologische Kontrollen unterteilt sind.

„Australische Unternehmen brauchen Unterstützung, um sich gegen allgemeine Bedrohungen zu verteidigen und ihr Cyber-Vertrauen zu stärken“, argumentiert Jamie Akhtar, CEO von CyberSmart. „Standards wie ISO 27001 können ihnen dabei helfen, indem sie es ihnen ermöglichen, eine Kultur der kontinuierlichen Verbesserung ihrer Cybersicherheitspraktiken aufzubauen – was sie und Australien letztendlich besser für die Bekämpfung von Cyberbedrohungen wappnet.“

Wenn die Regierung ihre „weltweit führenden“ Ambitionen erreichen will, müssen australische Organisationen proaktiv bei der Eindämmung des Cyber-Risikos vorgehen. Branchenrahmen und -standards können auf diesem Weg ein wichtiger Verbündeter sein.

„Ob es sich um die Einhaltung von ISO 27001, die Essential Eight, NIST oder ein anderes Rahmenwerk handelt, jede Organisation muss das am besten geeignete Rahmenwerk finden, das zu ihrer Organisation passt“, schließt Jayne von KnowBe4.