ASD herstructureren: de Problemen bij t’ cyber molen?

0
23

Nul

burgess-macgibbon.png

Executive voor de Australische Signals Directorate (ASS) die weigerde te ondertekenen op Microsoft ‘ s Azure en Office365 cloud-diensten worden verleend Beschermd Certificering heeft sinds linkerkant van het agentschap, volgens InnovationAus.com.

Het certificaat, dat wordt toegekend in April, kan Microsoft ‘ s “van de regering-configured” wolken te worden gebruikt voor de Australische regering gegevens geclassificeerd tot BESCHERMD niveau. Maar in tegenstelling tot alle vorige dergelijke certificeringen van Microsoft certificeringen werden de voorlopige, en kwam met wat de ASD genaamd “de consument gidsen”.

“De Australische Cyber Security Centrum (ACSC) is gecertificeerd voor de opslag, communicatie en de verwerking van de overheid gegevens BESCHERMD in de opgegeven cloud-diensten van Microsoft Australische basis van de public cloud. Extra compensatie controles te worden uitgevoerd op een risico-beheerd op basis van de afzonderlijke agentschappen voorafgaand aan het agentschap voor accreditering en het verdere gebruik van deze cloud-diensten. De ACSC werkt samen met Microsoft om ervoor te zorgen algemene compensatie security control blauwdrukken beschikbaar zijn in de komende weken,” de gidsen zeiden.

De ASD executive, een 24-jarige veteraan van Defensie, weigerde te ondertekenen op deze voorlopige certificering. Ze werd naar verluidt “verwijderd van de rol” door de ASD ‘ s nieuwe directeur-generaal Mike Burgess. Echter in een LinkedIn-post, de managers zei dat ze was “teleurgesteld” door de gevolgtrekking dat Burgess was de schuld van haar ontslag.

“Mike heeft niets, maar ondersteunend van mijn loopbaan en heeft mij met aanmoediging en mentorschap,” schreef ze.

De certificaten worden vervolgens ondertekend door het nieuwe hoofd van de ACSC, Alastair MacGibbon, die eerder werd de prime minister ‘ s speciale adviseur op het gebied van cyberbeveiliging.

Volgens InnovationAus.com dit weerspiegelt “interne strubbelingen” als de ASD de overgang naar een zelfstandige wettelijke agentschap, en de gewijzigde prioriteiten in het kader van Burgess. Het weerspiegelt ook een “radicale heroverweging” van de regering de aanpak van cybersecurity met het accreditatieproces “gevangen tussen een voortdurende naleving van de overheid de Beveiliging van Informatie, Handleiding (ISM) … en het nieuwe management de wens om snel de invoering van een vernieuwd handboek gebaseerd op een risico-management/mitigatie aanpak”.

Dit is niet de eerste keer dat we hebben gezien tips van de scheiding tussen wat genoemd zou kunnen worden “ASS geheim eekhoorn traditionalisten” en die houder zijn van een meer op risico gebaseerde aanpak.

In 2015, uitgaande hoofd van de ASS Cyber Security Tak, een rol die is nu in het bezit van MacGibbon, genoemd naar een meer ‘forward-scheve” cybersecurity houding, het citeren van de minister-president Malcolm Turnbull van het gebruik van de gecodeerde berichten app Wickr als een voorbeeld.

“Je moet een balans vermindering van risico’ s, en het verminderen van de efficiëntie en gemak,” Joe Franzi zei.

“Die gebruikt worden om de oude ASS model. We gebruikten ‘nee’ te zeggen zo vaak dat we verlamd organisaties uit eigenlijk te veel doet. Dat is niet van plan te snijden in de wereld van vandaag, en zeker voor de wereld van morgen.”

Franzi maakte deze opmerkingen tijdens de eerste ooit-op-record-interview in zijn Verdediging carrière, het geven van deze schrijver de stellige indruk dat zijn boodschap was meer gericht op ASS insiders dan het algemene publiek.

Meer recent, in oktober 2017, met een ASS incident handler het geven van een technische presentatie op de nationale conferentie van de Australian Information Security Association (AISA) onthuld details over de diefstal van geheime defensie-gegevens van een klein technisch aannemer. Een deel van het in verband met de F-35 Joint Strike Fighter, de P-8 Poseidon maritieme patrouille vliegtuigen, de C-130 transport vliegtuigen, de Joint Direct Attack Munition (JDAM) slimme bom kit, en andere belangrijke projecten.

Sommige mensen, met inbegrip van de schrijver, dacht deze presentatie was precies het soort dingen die de ASD moet doen, het combineren van concrete feiten met bruikbare cybersecurity advies in een boeiende presentatie. Helaas is het verhaal in het kort vergaard mainstream wereldwijde aandacht met de ministers in de regering klauteren om afstand te nemen van het geschil. Australië assistent van de minister voor cybersecurity is plotseling niet beschikbaar “doen electoraat business” en niet beschikbaar voor commentaar.

De ASD is naast een dergelijke presentatie op het bureau van de eigen conferentie in April 2018 was, om te zeggen het minst droog. Het niet maken van het nieuws. Er zou veel traditionalisten die zou hebben gewild dat het zo is, maar het betekende eventuele cybersecurity lessen ging niet verder dan de muren van een kleine vergaderzaal.

De ASD is er door een aantal radicale veranderingen — radicale in de goede zin. Het is nu een onafhankelijk bureau met Burgess op zijn hoofd. De ACSC is nu een afdeling van de ASD, met MacGibbon op zijn hoofd. De structuur weerspiegelt dat van de BRITSE Government Communications Headquarters (GCHQ) en het Nationaal Cyber Security Centrum (NCSC). Beide structuren geven een duidelijk onderscheid tussen de naties’ offensieve en defensieve cyber-mogelijkheden, en de cybersecurity divisies met een duidelijker mandaat. Maar er zijn verschillen.

Het NCSC gelanceerd werd en twee jaar later dan de ACSC, maar heeft gebruld vooruit, met een open technische plan voor het beveiligen van de UK gelanceerd in 2016, en regelmatige rapportage van de voortgang met echte gegevens.

Ondertussen, Australië lijkt te hebben toegevoegd verwarring te zijn cybersecurity management, de vorming van een aparte Kritieke Infrastructuur Centrum (CIC) die zich ook bezighoudt met fysieke veiligheid, en flip-floppen op de verantwoordelijkheden van de ASD en de Digital Transformation Agency (DTA) voor overheid’ eigen cybersecurity strategieën.

Er is ook de nieuwsgierige nieuwe regeling waarbij MacGibbon is zowel de adjunct-directeur-generaal van de ASD op de operationele kant, die uiteindelijk rapporteert aan de minister van Defensie — en een adjunct-secretaris van het Ministerie van binnenlandse Zaken als National Cyber-Coördinator over het beleid betreft. Die fractie van een rol is zeker moeilijk, vooral met de twee organisaties nog om te vechten voor wie precies verantwoordelijk is voor wat.

Zowel Burgess en MacGibbon zijn over het algemeen goed gerespecteerd in de sector, met een reputatie voor het krijgen van dingen gedaan. Maar ze worden geconfronteerd met de uitdagingen van transformatie van de cultuur van de ASD, terwijl tegelijkertijd ontklitten rommelig hoge niveau van de organisatorische structuren.

Plus de werkelijke uitdaging, weet je, het uitvoeren van de natie cyber afweer tijdens een wapenwedloop.

Helaas voor hen, kunnen ze waarschijnlijk kijk ernaar uit om veel van de problemen op de t’ molen.

Verwante Dekking

ASD weigert in ontvangst te nemen stap achterwaarts in het kielzog van de DTA-cloud strategie

Als u de meerderheid van de cyber talent in de openbare dienst, waarom zou je delegeren aan een agentschap zonder een cybersecurity-team?

Die gelekte het idee van ASS spionage op de Australiërs, en waarom?

Mike Pezzullo schijnbare gedachte zeepbel op de binnenlandse digitale bewaking is gebarsten, maar het voorspiegelt spannende tijden in het verschiet voor Australië, nieuw binnenlandse veiligheid.

Microsoft winsten beschermd-niveau cloud classificatie van een ASS

Microsoft heeft ontvangen accreditatie van de Australische Signalen Directie, waardoor het opslaan en uiterst vertrouwelijke overheidsinformatie tot ‘beschermd’ niveau op het Office 365 platform en specifieke Azure services.

ASD verzoekt de regering chief executives om hun cybersecurity spel

De Australische Signalen van het Directoraat kersverse directeur heeft verwierp het idee van een cybersecurity tekort aan vaardigheden, met de nadruk eerder is er een noodzaak om te zorgen voor de mensen aan de top van de departementen van de overheid zijn zich bewust van de bedreigingen waarmee zij worden geconfronteerd.

Een data inbreuk, is dit mogelijk duurder dan je denkt, dankzij deze verborgen kosten (TechRepublic)

Volgens een IBM-rapport, een data-inbreuk kan kosten $3.86 miljoen. Hier zijn de belangrijkste factoren.

Verwante Onderwerpen:

Australië

Beveiliging TV

Data Management

CXO

Datacenters

0