公共帐目和审计联合委员会已呼吁对网络状态和文化进行更多审查,但同时又补充说,不应增加公开信息的数量。
公共帐目和审计联合委员会(JCPAA)要求每年由澳大利亚国家审计署(ANAO)对联邦政府实体的网络弹性进行评估,但是,即使政府接受了该建议,它也承认这是不太可能导致公众了解情况的改善。
审查了最近一对ANAO报告的报告说:“委员会意识到,调查中提出的证据令人担忧,这些证据强调英联邦实体内部的个体漏洞可能加剧现有的网络安全风险。”
“鉴于此,委员会建议,已发布的有限保证审查所提供的详细公共信息,不应比现有的ANAO网络弹性审计中所提供的更为详尽。公开的报告还可以为已发现的障碍提供建议,以帮助实施13种行为和做法的机构以及重要的八项缓解策略,并指出有必要在必要时向部长和JCPAA保密报告。”
从历史上看,ANAO的公开报告通常会将机构放在一个图表上,该图表在一个轴上衡量对缓解策略的遵守情况,在另一个轴上衡量访问和变更管理的成熟度。然后将这些代理机构评估为以下四个象限之一:脆弱,内部具有弹性,外部具有弹性或网络具有弹性。
澳大利亚机构对公众对其安全态势的任何认可仍然高度反对。
本周早些时候,国家情报局(ONI)同时表示其态势高度成熟,但随后以国家安全为由拒绝透露其是否拥有DMARC记录。
任何人都可以轻松地使用命令行工具或站点来查找ONI是否完全符合DMARC,因为它是DNS记录并且可以在Internet上公开查看。
影子网络安全部长助理蒂姆·沃茨(Tim Watts)表示,该报告是对政府的“毁谤性起诉”。
瓦茨在一次演讲中说:“这种失败是如此严重,以至于委员会发现需要一种新的,前所未有的监督机制来确保我们至关重要的政府服务以及他们所持有的澳大利亚公民的数据得到适当保护。”副主席朱利安·希尔(Julian Hill)发表声明。
“这是在英联邦政府拥有自己的网络安全框架的违规率达到惊人的高水平之后。
“莫里森政府已经收到了来自ANAO和JCPAA的七年报告来解决这个问题。”
反对党此前曾表示,希望命名和羞辱那些网络得分较低的实体。
JCPAA在其其他建议中说,总检察长部门应提供有关让外部各方验证实体自我报告的合规性的最新信息。该部门还应提供有关政府实体网络成熟度的最新信息,以及授权“必备八人”计划是否可行(该委员会于2017年10月提出了要求),并报告为何任何实体尚未实施《最高管理原则》。2013年4月有4个项目获得授权。
它补充说,应更新保护性安全政策框架以使其与ANAO的13种网络弹性行为和做法保持一致,并且澳大利亚邮政和澳大利亚数字卫生局提供了有关他们如何实施先前ANAO报告中的建议的最新信息。