По указанию Министерства внутренних дел, федеральное правительство Австралии проведёт инвентаризацию всех своих интернет-систем и сервисов до июня следующего года.
Согласно распоряжению, подписанному секретарём Министерства внутренних дел Стефани Фостер 5 июля, существует острая необходимость усиления практик управления технологиями в государственных структурах.
Государственные учреждения должны провести аудит любого оборудования, программного обеспечения или информационной системы, платформы, мобильного приложения или услуг, которые хранят, обрабатывают, передают или трансформируют официальную или секретную информацию, принадлежащую или используемую правительством Австралии.
Цель инициативы состоит в том, чтобы департаменты и агентства разработали план управления рисками в области технологической безопасности для всех интернет-систем или сервисов, который будет частью их общей системы безопасности.
План должен включать в себя методы управления жизненным циклом технологий, меры по снижению уязвимостей в области кибербезопасности и рисков цепочки поставок, а также способы обеспечения постоянной видимости и мониторинга окружающей среды.
Дополнительное распоряжение требует, чтобы правительство управляло рисками, связанными с иностранным владением, влиянием или контролем технологий на момент их закупки. Это может быть связано с увеличением внимания к использованию китайских дронов и камер видеонаблюдения агентствами и операторами критической инфраструктуры в последние годы, где наблюдается тенденция к их замене на местные альтернативы.
Третье распоряжение обязывает все 189 государственных учреждений, подпадающих под рамки политики защиты (PSPF), делиться информацией о киберугрозах с Австралийским управлением сигналов (ASD). На практике это означает, что ASD будет иметь общегосударственное представление обо всех возможностях “охоты на киберугрозы”, используемых государственными структурами, и все они будут подключены к платформе обмена разведданными о киберугрозах (CTIS).
Сара Слоан, глава отдела правительственных дел и государственной политики компании Palo Alto Networks, заявила, что это лишь второй случай использования правительством своих обязательных директивных полномочий. Первый случай был связан с запретом приложения TikTok на устройствах, выданных государственными департаментами и агентствами.
Слоан также добавила, что инвентаризация, сосредоточенная на уязвимостях, “отлично подходит” для того, чтобы помочь правительству “оперативно находить и защищать уязвимые системы”.