ASD предупредил, что облачная аккредитация разворот ставит под угрозу безопасность, принятие
Поставщики услуг, орган ИТ-отрасли, обеспокоенный дерегулированием.
Отмена программы сертификации централизованных облачных сервисов (CSCP) Австралийского управления сигналов выявила весьма реальные опасения по поводу будущей безопасности правительственных данных и влияния на темпы внедрения облачных вычислений в государственном секторе.
Разворот политики был обнародован в понедельник после того, как независимый обзор рекомендовал закрыть программу с июля и создать «новые совместно разработанные руководящие принципы облачной безопасности с промышленностью».
ASD и Агентство цифровой трансформации ожидают, что это изменение «откроет облачный рынок Австралии» и предоставит агентствам «более широкий спектр безопасных и экономически эффективных облачных услуг».
Но движение по эффективному дерегулированию того, как облачные сервисы аккредитованы для правительства, было встречено со смешанной реакцией со стороны поставщиков облачных услуг и более широкой ИТ-индустрии.
Хотя CSCP и сопровождающий его список сертифицированных облачных сервисов (CCSL) отнюдь не были идеальными, создав узкие места и путаницу, они стали надежным эталоном для государственных облачных сервисов.
Переход к схеме саморегулирования, когда агентства несут ответственность за свои собственные оценки безопасности облачных вычислений на основе рекомендаций, может стать одинаково трудным для прохождения.
И если соблюдение агентством требований к компонентам кибербезопасности основы политики защитной безопасности является чем-то необходимым, такое изменение может поставить под угрозу безопасность правительственных данных.
Это происходит в то время, когда угрозы кибербезопасности возрастают, а доверие правительства находится на рекордно низком уровне.
Это признается Австралийской ассоциацией информационной индустрии, которая обеспокоена тем, что прекращение оценки безопасности облачных вычислений ASD может повлиять на принятие правительством облачных решений.
Отраслевой орган обеспокоен тем, что этот сдвиг «может вызвать путаницу» среди агентств, которые теперь будут нести ответственность за свои собственные оценки облачной безопасности.
«Смешанная способность небольших и даже более крупных государственных учреждений проводить оценки рисков киберугроз может привести к неблагоприятному поведению рисков из-за нехватки кибер-навыков в агентствах, что приведет к снижению внедрения новейших облачных технологий и цифровых услуг».
Эта проблема, особенно в отношении кибербезопасности, разделяется рядом облачных провайдеров, которые были аккредитованы для передачи защищенных данных правительства Австралии.
Vault Cloud, который был одним из первых провайдеров, получивших сертификацию защищенного уровня в 2017 году, считает необходимым нормативное требование для облачных сервисов, которые хранят конфиденциальные правительственные данные.
На сегодняшний день это один из шести облачных провайдеров, прошедших сертификацию на защищенном уровне. Другие провайдеры включают Amazon Web Services, Microsoft, Macquarie Government, Sliced Tech и NTT Australia.
Генеральный директор Руперт Тейлор-Прайс сказал iTnews, что решение было значительным, поскольку процесс сертификации ASD, имеющий ключевое значение для Vault Cloud, повысил его уровень безопасности за последние семь лет.
«Киберугрозы, с которыми сталкивается Австралия, никогда не были больше, роль, которую ASD играет в защите конфиденциальных и персональных данных, которыми располагает правительство, невозможно переоценить», - сказал он .
«Чтобы развиваться как отрасль, нам нужно обеспечить уровень безопасности, которому граждане могут продолжать доверять».
Управляющий директор Macquarie Government Эйдан Тудехоп сказал, что программа помогла и поощрила агентства внедрять облачные сервисы, делая «центр внимания кибербезопасности».
«Это в основном заставило облачных провайдеров взглянуть на себя и оценить их по руководству по информационной безопасности правительства Австралии», - сказал он iTnews .
«Не против их собственных ориентиров, не против того, что они чувствовали, было правильным препятствием, но против того, что австралийское правительство нуждалось и требовало.
Тудехоп сказал, что задача правительства сейчас заключается в определении того, как будет выглядеть новый «новый эталон».
Но он сказал, что это может быть особенно проблематично для небольших агентств, которые не обязательно имеют обширный кибер-опыт.
«Есть много провайдеров, которые говорят о кибербезопасности и о том, как они защищены, но сейчас нет оценки, как их оценивать», - сказал Тудехоп.
Sliced Tech перекликается с озабоченностью Tudehope, предполагая, что «в агентствах предстоит проделать значительную работу, чтобы понять последствия этих изменений ASD».
«Sliced Tech надеется на более широкую коммуникацию, руководство и поддержку
как для агентств, так и для промышленности, чтобы уменьшить возможную путаницу в этот переходный период», - говорится в заявлении.
Но он также считает, что укрепление программы оценки IRAP «обеспечит большую уверенность в программе и дальнейшее стимулирование внедрения облачных сервисов в государственных учреждениях».
Другие сертифицированные облачные провайдеры защищенного уровня, такие как Microsoft, были менее обеспокоены этим изменением, несмотря на то, что они только вышли из обременительного процесса сертификации облачных технологий менее двух лет назад .
«Microsoft приветствует определенность правительственных соглашений по обеспечению безопасности облачных вычислений, которую обеспечивают объявления ASD и DTA», - сказал представитель Microsoft.
«Microsoft обязуется и впредь проводить оценки IRAP наших услуг для поддержки агентств в целях удовлетворения их требований в соответствии с правительственным руководством по информационной безопасности и для надлежащего доступа и управления рисками при принятии ими облачных сервисов».
SAP и Equinix, которые не представлены в CCSL и могут извлечь выгоду из изменений, приветствовали это решение.
«Данное сообщение является позитивным шагом на пути решения давних проблем, связанных с тем, что предыдущие договоренности препятствовали правительству и способности общественности получать выгоду от облачных услуг, предлагаемых более широким кругом поставщиков», - сказали в SAP.
Глава государственного сектора Equinix Australia Дерек Патерсон заявил, что это решение окажет «чрезвычайно положительное влияние на отрасль и ускорит переход правительства к цифровым преобразованиям».