- Sektor publik Australia menghadapi ancaman serangan siber besar karena masih memiliki celah keamanan.
- Laporan audit tahun 2024 menemukan bahwa dua lembaga pemerintah, Services Australia dan AUSTRAC, belum siap menghadapi serangan siber.
- Pemerintah Australia berkomitmen meningkatkan kesadaran akan risiko keamanan siber dan berinvestasi dalam teknologi dan pelatihan.
pibitek.biz -Pemerintah Australia melakukan penyelidikan terhadap kesiapan lembaga pemerintahnya dalam menghadapi serangan siber. Hasilnya, ditemukan banyak celah yang bikin miris. Sebuah laporan audit pada tahun 2024 mengungkap bahwa dua lembaga, Services Australia dan AUSTRAC, ternyata belum siap menghadapi serangan siber besar. Bahkan, survei tahun sebelumnya juga menemukan lubang-lubang di beberapa aspek kesiapan siber.
2 – Bahaya AI: ChatGPT Digunakan untuk Kembangkan Malware 2 – Bahaya AI: ChatGPT Digunakan untuk Kembangkan Malware
3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
Lembaga pemerintah Australia jadi incaran empuk penjahat siber karena banyaknya data yang mereka miliki. Kantor Pajak Australia (ATO) aja diserang 4,7 juta kali tiap bulan karena punya data sekitar 50 petabyte. Super SA, pengelola dana pensiun di Australia Selatan, sempat kena retas dan data banyak nasabahnya bocor.
Statistik resmi dari laporan ASD pada 2023 menunjukkan bahwa lembaga pemerintah masih jadi sasaran serangan siber. Laporan ASD ini juga menilai tingkat kesiapan siber semua lembaga pemerintah dan hasilnya mengecewakan. Laporan tersebut menyebutkan bahwa "tingkat kesiapan secara keseluruhan masih rendah pada tahun 2023". Audit sebelumnya yang dilakukan Kantor Audit Nasional Australia (ANAO) pada lembaga seperti Kepolisian Federal Australia, ATO, dan Kementerian Luar Negeri dan Perdagangan, juga menemukan bahwa "lembaga-lembaga ini punya ketahanan siber yang rendah".
Laporan ANAO pada Juni 2024 tentang manajemen insiden siber di Services Australia dan AUSTRAC menemukan bahwa tindakan mereka hanya "cukup efektif". Kedua lembaga tersebut belum siap memastikan kelangsungan bisnis atau pemulihan bencana setelah insiden siber besar. Services Australia, yang memberikan layanan dan pembayaran ke warga, dan AUSTRAC, yang bertugas mencegah penyalahgunaan sistem keuangan, menyimpan banyak informasi ekonomi, komersial, dan pribadi.
Kedua lembaga ini diklasifikasikan sebagai infrastruktur nasional atau penting untuk keamanan. Laporan ANAO menemukan bahwa prosedur AUSTRAC untuk pemulihan setelah insiden tidak mencakup keamanan dan pengujian solusi cadangan. Juga, tidak merinci sistem, aplikasi, dan server yang mendukung proses bisnis penting.
Selain itu, laporan tersebut juga menyebutkan bahwa organisasi tidak memiliki kebijakan pencatatan peristiwa atau mendokumentasikan analisis semua peristiwa keamanan siber, yang melanggar pedoman ASD. Services Australia juga hanya "cukup efektif" dalam merancang prosedur manajemen insiden keamanan siber. Tidak ada pendekatan terdokumentasi untuk penilaian ancaman dan kerentanan. Tidak ada jangka waktu untuk triase dan eskalasi, serta tidak ada pendekatan yang jelas untuk investigasi.
Lembaga ini telah "menerapkan sebagian proses pemulihan yang efektif", termasuk pencadangan rutin. Namun, rencananya tidak mencakup semua sistem dan aplikasi yang mendukung proses bisnis penting, dan lembaga tersebut tidak menguji pemulihan cadangan. Pemerintah Australia sadar bahwa lembaganya perlu meningkatkan kesiapan dan ketahanan siber mereka.
Dalam Strategi Keamanan Siber 2023-2030, pemerintah menulis bahwa sebagai pemilik dan pengelola infrastruktur penting serta pemegang beberapa data paling sensitif tentang rakyat Australia, ekonomi, dan keamanan nasional, "pemerintah perlu menetapkan standar yang sama bagi dirinya sendiri seperti yang ditetapkan untuk industri". Sebagai bagian dari strategi tersebut, pemerintah telah berkomitmen untuk: – Meningkatkan kesadaran akan risiko keamanan siber dan praktik terbaik – Berinvestasi dalam teknologi dan pelatihan untuk melindungi lembaga pemerintah dari serangan siber – Bekerja sama dengan industri dan mitra internasional untuk berbagi informasi dan praktik terbaik – Meninjau dan memperbarui undang-undang dan kebijakan keamanan siber ASD mengatakan pihaknya memainkan peran dalam meningkatkan keamanan di lembaga pemerintah pada tahun 2024 menggunakan dana tambahan.
Hal ini mencakup penerapan kemampuan teknis yang lebih banyak ke departemen dan penyediaan lebih banyak ahli untuk membantu lembaga memperkuat jaringan mereka dari penjahat siber. Sektor swasta menyambut baik langkah-langkah untuk meningkatkan keamanan siber di sektor publik. Dalam pengajuan terbaru kepada pemerintah tentang reformasi undang-undang keamanan siber yang diusulkan, Dewan Teknologi Australia, yang mewakili industri teknologi, mendesak pemerintah Australia untuk meningkatkan dan melindungi praktik serta metode keamanan informasinya sendiri.
Hal ini untuk memastikan bahwa informasi yang diberikan kepadanya oleh organisasi sektor swasta, sebagai bagian dari usulan berbagi informasi insiden siber wajib, terjadi di lingkungan dan saluran transfer yang aman. Amazon Web Services (AWS) menyarankan agar pemerintah secara resmi memasukkan infrastruktur pentingnya sendiri dan "Sistem Penting Pemerintahan" di bawah lingkup Undang-Undang Keamanan Infrastruktur Kritis, atau kerangka hukum lainnya. "Hal ini akan menetapkan tolok ukur penting yang dapat ditegakkan bagi pemerintah", tulis AWS, "dan mengirimkan sinyal penting kepada industri bahwa pemerintah benar-benar melihat dirinya sebagai mitra yang setara dalam peningkatan siber negara ini".
