Ausztrália – kiberbiztonsági helyzetjelentés
Ausztrália Protective Security Policy Framework értékelése és a Commonwealth kiberbiztonsági helyzetjelentése azt mutatja, hogy a közszféra nagy részben megfelel a kormányzati védelmi elvárásoknak és folyamatosan javuló trendet mutat, ugyanakkor a technológiai érettség, legacy rendszerek korszerűsítése, incidenskezelés és a magasabb szintű technikai kontrollok teljes körű alkalmazása továbbra is kulcsfontosságú feladat a még hatékonyabb kibervédelem érdekében.
A PSPF Assessment Report 2024–25 azt mutatja, hogy a szervezetek közel 92 %-a hatékony szintű megfelelőséget ért el a PSPF-ben lefektetett követelmények teljesítésében, amelyek nem csak adminisztratív dokumentumok, hanem a gyakorlatban mérhető biztonsági eredményekre, kockázatcsökkentésre és bizonyítható biztosításra helyezik a hangsúlyt. Ugyanakkor az informatikai biztonság és a technológiai védelem terén a teljes megfelelőség aránya alacsonyabb, körülbelül 79 %, ami azt jelzi, hogy ezen a területen még továbbra is erősíteni kell az intézkedéseket.
A PSPF keretén belül különösen a 13. és 14. pontok, a Technology Lifecycle Management és a Cyber Security Strategies játszanak kulcsszerepet, az infokommunikáció folyamatos biztonságát és üzletment-folytonosságát, a stratégia pedig a kiberbiztonsági stratégiákat és technikai kontrollokat írja elő az entitások számára.
A 2025-ös Commonwealth Cyber Security Posture Report azt is kiemeli, hogy az Essential Eight mitigációs stratégiák, amelyek technikai védelmi kontrollokat foglalnak magukban, köztük a patch-menedzsmentet és a többfaktoros hitelesítést, az entitások közül 22 % érte el a második érettségi szintet, ami javulás a 2024-es 15 %-hoz képest, de kissé elmarad például a 2023-as 25 %-tól. Ez részben az Essential Eight frissített, szigorúbb követelményeinek tudható be, amelyek magasabb technológiai elvárásokat támasztanak a szervezetekkel szemben.
Az értékelésben nyomon követett területek között szerepel a biztonsági eseményekre való felkészülés és tervezés, ahol 90 % rendelkezik incidenskezelési tervvel, 82 % formális kiberbiztonsági stratégiával, és 87 % évente végzi el az alkalmazottak képzését, amik mind arra utalnak, hogy a szervezeti tudatosság és felkészültség erősödik. Ugyanakkor a régebbi IT-rendszerek okozta kihívások (59 %) és a jelentett események alacsony aránya, csupán 35 % jelenti az ASD-nek legalább a megfigyelt események felét, azt mutatják, hogy a mélyebb technikai érettség és az incidens-jelentési kultúra még nem egységes minden szervezetnél.
Az ausztrál kormány PSPF-szisztémája nem egyszerű elméleti elvárás, hanem egy hat domainre, kormányzás, kockázatkezelés, információbiztonság, technológia, személyzet és fizikai biztonság, kiterjedő, kockázatalapú keretrendszer, amely évente frissül, és egyre inkább beépíti a zero trust elveket, az új technológiák kihívásait, így az AI és a kvantum-biztonság, valamint a folyamatos biztonsági fejlesztési ciklusokat.
