Úc đặt mục tiêu zero trust trong toàn chính phủ
Chính phủ liên bang đã đặt ra mục tiêu đầy tham vọng là áp dụng “văn hóa zero trust” cho hệ thống dịch vụ công (DVC) của Úc vào năm 2030.
Trong chiến lược an ninh mạng sửa đổi được công bố ngày 22/11/2023, chính phủ Úc cho biết sẽ mở rộng quyền hạn của điều phối viên an ninh mạng quốc gia để lãnh đạo việc nâng cao an ninh mạng của toàn chính phủ, bên cạnh đó là trách nhiệm trong việc ứng phó sự cố.
Chiến lược này nêu rõ, mặc dù chính phủ đang áp đặt các yêu cầu nâng cao về an ninh mạng đối với ngành công nghiệp nhưng các tiêu chuẩn riêng vẫn chưa bắt kịp. “Chính phủ Úc cần phải tuân thủ các tiêu chuẩn tương tự mà họ áp đặt cho ngành công nghiệp”.
Cam kết xây dựng “văn hóa zero trust” cho toàn bộ DVC của Úc (APS) có thể sẽ thực hiện những gợi ý đề xuất trong nâng cao xác minh danh tính và quản lý truy cập đặc quyền. Công việc này dự kiến sẽ bắt đầu trong 2 năm tới và sẽ được hoàn thành vào năm 2030.
Trong kế hoạch hành động của mình, Úc muốn “một nền văn hóa zero trust trong toàn chính phủ để bảo vệ dữ liệu của chính phủ và tài sản số. Chính phủ sẽ thực hiện các biện pháp kiểm soát mạng dựa trên các phương pháp tiếp cận được quốc tế công nhận để hướng tới zero trust. Điều này được xây dựng trên các nguyên tắc được thiết lập trong các chiến lược Essential Eight (chiến lược giảm thiểu được thiết kế để giúp các tổ chức tự bảo vệ mình trước các sự cố an ninh mạng) của Tổng cục Tín hiệu Úc (ASD) nhằm giảm thiểu sự cố an ninh mạng.”
Trong khi đó, “nâng cao an ninh mạng trong toàn chính phủ” do điều phối viên an ninh mạng quốc gia hiện là Hamish Hansford đứng đầu sẽ bao gồm “việc triển khai và báo cáo về sự trưởng thành của mạng ở các cơ quan và ban ngành trong Khối thịnh vượng chung”.
Yêu cầu đối với điều phối viên là phải nâng cao sự trưởng thành của mạng ở cả các cấp chính quyền tiểu bang, lãnh thổ và địa phương. Và chính phủ liên bang muốn giải quyết tất cả các điểm yếu tiềm ẩn trong tình hình an ninh mạng trong toàn khu vực công.
Trong chiến lược có nói rõ: “Là một phần chức năng cốt lõi của mình, các chính quyền Khối thịnh vượng chung, tiểu bang, lãnh thổ và địa phương đều cung cấp những dịch vụ thiết yếu cho xã hội, tạo thành một phần quan trọng trong cơ sở hạ tầng số của quốc gia".
Chính phủ liên bang cũng đang cân nhắc một “chức năng đảm bảo và chương trình an ninh mạng nội bộ” để hỗ trợ các cơ quan chính phủ “nâng cao sự trưởng thành của họ trước các biện pháp kiểm soát bảo mật của Essential Eight”.
Nhiều cơ quan liên bang đã đạt được sự trưởng thành trong năm qua, nhưng tỷ lệ nhìn chung vẫn còn tương đối thấp.
Chính phủ cam kết sẽ có nhiều đánh giá thận trọng hơn đối với các cơ quan. Điều này cũng sẽ chỉ rõ “những hệ thống quan trọng của chính phủ cần được bảo vệ bằng các tiêu chuẩn bảo mật cao hơn”. Hiện nay, đây là một yêu cầu đối với cả ngành công nghiệp chứ không phải chỉ là cho các cơ quan chính phủ. Ngoài ra, điều này còn nhằm nâng cao các kỹ năng mạng của APS./.