Wyjaśnienie podstawowej ósemki

Healthdirect Australia spełnia wszystkie wymagania umożliwiające osiągnięcie co najmniej drugiego poziomu dojrzałości we wszystkich obszarach i wszystkich aspektach usługi połączeń wideo healthdirect. Ostatnia ponowna ocena usługi rozmów wideo healthdirect pod kątem zgodności z Essential Eight miała miejsce 17 sierpnia 2023 r. Jeśli chcesz uzyskać więcej informacji na temat oceny modelu dojrzałości rozmowy wideo Essential Eight, napisz na adres videocallsupport@healthdirect.org.au .

Chociaż nie ma gwarancji, że pojedyncza strategia łagodząca zapobiegnie incydentom związanym z bezpieczeństwem cybernetycznym, ACSC zaleca, aby organizacje wdrożyły strategie łagodzące E8 jako punkt odniesienia. Ten poziom bazowy znacznie utrudnia przeciwnikom złamanie zabezpieczeń systemów. Co więcej, proaktywne wdrożenie E8 może być bardziej opłacalne pod względem czasu, pieniędzy i wysiłku w porównaniu z reagowaniem na incydent bezpieczeństwa cybernetycznego na dużą skalę. W oparciu o zagrożenia ze strony przeciwników sugeruje się kolejność wdrożenia, która ma pomóc organizacjom w budowaniu silnego poziomu bezpieczeństwa cybernetycznego dla ich systemów. Kiedy organizacje wdrożą pożądane strategie łagodzenia do początkowego poziomu, powinny skoncentrować się na zwiększaniu dojrzałości ich wdrożenia, tak aby ostatecznie osiągnąć pełną zgodność z zamierzeniami każdej strategii łagodzenia. Strategie E8, które ACSC zaleca jako punkt odniesienia, są następujące:

1. Kontrola aplikacji
   Kontrola aplikacji umożliwia uruchamianie na komputerach tylko wybranych aplikacji. Ma na celu zapobieganie uruchamianiu niezatwierdzonych aplikacji, w tym złośliwego oprogramowania
2. Poprawki do aplikacji Łatanie poprawek i luk w zabezpieczeniach aplikacji. Jest to ważne, ponieważ przeciwnicy będą wykorzystywać znane luki w zabezpieczeniach aplikacji, aby zaatakować komputery
3. Wyłącz niezaufane makra pakietu Microsoft Office Aplikacje pakietu Microsoft Office mogą używać oprogramowania zwanego „makrami” do automatyzacji rutynowych zadań. Coraz częściej stosuje się makra, aby umożliwić pobieranie złośliwego oprogramowania. Makra mogą umożliwiać przeciwnikom dostęp do poufnych informacji, dlatego makra powinny być zabezpieczone lub wyłączone.
4. Wzmacnianie aplikacji użytkownika Obejmuje to działania takie jak blokowanie dostępu przeglądarki internetowej do programu Adobe Flash Player, reklam internetowych i niezaufanego kodu Java w Internecie. Reklamy Flash, Java i reklamy internetowe od dawna są popularnymi sposobami dostarczania złośliwego oprogramowania do infekowania komputerów.
5. Ogranicz uprawnienia administracyjne (administratora) Oznacza to, że uprawnienia administratora są używane wyłącznie do zarządzania systemami, instalowania legalnego oprogramowania i instalowania poprawek oprogramowania. Powinny one być ograniczone tylko do tych, którzy ich potrzebują. Konta administratorów są „kluczami do królestwa”, przeciwnicy wykorzystują je do uzyskania pełnego dostępu do informacji i systemów.
6. Łatanie systemów operacyjnych Łatanie poprawek i luk w zabezpieczeniach systemów operacyjnych. Jest to ważne, ponieważ przeciwnicy będą wykorzystywać znane luki w zabezpieczeniach systemu operacyjnego, aby atakować komputery.
7. Uwierzytelnianie wieloskładnikowe Dzieje się tak, gdy użytkownik uzyskuje dostęp dopiero po pomyślnym przedstawieniu wielu odrębnych dowodów. Posiadanie wielu czynników uwierzytelniania znacznie utrudnia przeciwnikom dostęp do Twoich informacji
8. Codzienna kopia zapasowa ważnych danych Oznacza to regularne tworzenie kopii zapasowych wszystkich danych i przechowywanie ich w trybie offline lub online, ale w sposób niemożliwy do ponownego zapisu i usunięcia. Dzięki temu organizacja może ponownie uzyskać dostęp do danych, jeśli doświadczy incydentu związanego z bezpieczeństwem cybernetycznym.

Niezbędny model ósmej dojrzałości

Aby pomóc organizacjom w określeniu efektywności wdrożenia E8, opracowano model dojrzałości. Model definiuje cztery poziomy dojrzałości dla każdej strategii łagodzenia.

• Poziom dojrzałości zerowy – ograniczony lub żaden, zgodny z zamierzeniem strategii łagodzenia
• Poziom dojrzałości pierwszy – Częściowo zgodny z zamierzeniem strategii łagodzenia
• Poziom dojrzałości drugi – w większości zgodny z intencją strategii łagodzenia
• Poziom dojrzałości trzeci – w pełni zgodny z intencją strategii łagodzenia skutków