6月2日讯 自去年四月澳大利亚发布网络安全战略以来,该国政府在绝大多数倡议的执行力度相当糟糕。根据最新一项调查结果显示,总计投入金额达到2.3亿美元的计划的八十三项举措当中,竟然只有四项得到确切落实。
《澳大利亚网络安全战略》为澳大利亚未来4年(至2020年)确立了针对网络安全行动的五个主题:全国性的网络合作、稳固的网络防御能力、全球性责任及影响、发展与创新、网络智能国家。同时该战略旨在促进政府及各企业更好地推进威胁情报共享。
澳网络安全战略落实广受诟病
澳政府公布数据与智库机构报告结论有差异
澳大利亚政府最近宣布网络安全战略计划已经推进一周年,并表示提交报告当中所包含的八十三项举措皆取得了良好进展。从具体战略目标角度来看,到目前为止,澳大利亚网络安全战略已经对其国内各规模最大的上市企业进行网络健康状况检查,业界领先的网络安全提升中心正逐步投入运行,而首个公共/私营部门联合威胁情报共享中心也已经宣告建成。目前正在开展的工作则包括将澳大利亚网络安全中心由澳大利亚安全情报局(简称ASIO)总部搬迁至其它地方。
然而,在澳大利亚的计划中,丹·泰丹与阿拉斯泰·麦克吉本将分别出任新的部长级角色与专门负责网络安全事务的特别顾问职位,另外托比亚斯·弗肯则立足外交贸易部(简称DFAT)担任国际网络安全大使一职,负责支持各类国际性网络安全工作,但截至目前,三人仍未上任。
据一项由独立智库机构澳大利亚战略政策研究所(简称ASPI)负责执行的政府进度调查报告对过去12个月当中的工作成果进行了评估,并发现绝大多数目标实现过程相当不顺利。
ASPI表示与澳大利亚政府公布的结论不同,目前已经完成的举措只有四项,而非六项。
多项举措进度缓慢
ASPI在报告中称其它二十项举措“正在进行”当中,但另二十二项举措需要进一步加大推动力度才有可能在计划框架设定的四年之内得以完成。
截至目前,仍有十四项举措尚未完成,而另外十一项举措则“无法”确定是否已经或者将要完成。
这份报告的作者佐伊·霍金斯与连姆·奈维尔表示,澳大利亚政府正在“努力工作”以实现这项战略,但进度则因网络安全问题的快速变化与规模提升而受到严重影响。
他们还提出批评,称澳大利亚政府未能向各私营部门作出适当解释。根据战略要求,各私营部门应在此项战略的交付当中扮演重要角色,尤其是在预期目标方面存在传达不力的问题。
缺乏透明度
ASPI分析师们在报告中写道,“尽管网络安全战略的实际进度表现较预期更为缓慢,但我们更关心的是政府方面在执行文件内承诺的具体任务及活动计划时表现出的透明度匮乏的问题。”
项目时间节点不明确
ASPI分析报告表示,“本应在此项战略的具体举措当中扮演牵头方角色的各私营部门合作伙伴实际上并不清楚澳大利亚政府的具体实施计划,而且缺少明确的时间节点限制亦会严重影响公共/私营部门间合作的潜力与未来前景。”
缺乏后续跟踪
根据报告指出,目前澳大利亚政府还没有收集任何具体数据的意向,这意味着尚缺少证据证明此项战略是否会对澳大利亚的网络安全带来有意义的正面积极的影响。
而且根据ASPI方面的说法,根据三家政府机构以及2016年eCensus普查在国家审计报告当中给出的“不敢恭维”的评估观点,澳大利亚的网络安全水平表现出“令人汗颜的测试结果”且需要更进一步加大相关努力。
不过分析师们同时指出,将媒体关注、政府领导层思路以及公共/私营合作关系间的“共同愿望”加以结合,完全有机会给澳大利亚指明一条学习并不断前进的可行性道路
澳大利亚网络安全战略进度为何如此缓慢?
分析师们将进度拖延问题归咎于2016年大选活动以及随后的政府机构变动。
但其同时表示,无论如何,交付时间表的落后都必将给政府践行此项战略的承诺以及具体实施速度期望带来批评的声音。
ASPI的分析师们建议称,澳大利亚政府应制定一项“明确的发展路线图,其中包含时间表、里程碑设置以及可交付成果”,旨在解决上述问题。他们在报告中写道,“也许应该将各年度执行计划中的每一项战略主题加以拆分,这将有效阐明任务的当前执行进度、何时完成以及各举措应由谁负责。”
“发布年度迭代进度报告将确保此项方案能够根据环境变化而不断演进,且各相关方亦能够持续了解并准确把握具有时效性的对应期望。”
去年,两位来自新南威尔士大学的网络安全教育者亦作出批评,称澳大利亚政府未能将网络安全问题纳入高优先级事务清单,亦未为此项战略分配充足的资金预算。
本文转自d1net(转载)