Theo bài viết trên trang mạng ASPI Strategist, tại các thành phố nhộn nhịp của Australia và vùng sâu vùng xa rộng lớn có các tài sản cơ sở hạ tầng quan trọng. Đây vốn là nền tảng cho cuộc sống của người dân như điện, nước, chăm sóc sức khỏe, viễn thông, giao thông, thực phẩm... Cơ sở hạ tầng quan trọng dễ bị tổn thương trước một loạt các mối nguy hiểm, bao gồm các mối đe dọa từ những đối tượng có mục đích xấu và cần được bảo vệ.
         
Trong những năm gần đây, chủ sở hữu và nhà điều hành các tài sản cơ sở hạ tầng quan trọng ở Australia đã phải đối mặt với một số thách thức, bao gồm tác động của đại dịch COVID-19, thiên tai, biến động kinh tế, tấn công mạng, gián đoạn chuỗi cung ứng và rò rỉ dữ liệu.
         
Để bảo vệ xã hội bằng cách duy trì các dịch vụ quan trọng mà người dân phụ thuộc vào, vào năm 2022, Chính phủ Australia đã đưa ra các sửa đổi đối với Đạo luật An ninh Cơ sở hạ tầng Quan trọng 2018. Các sửa đổi yêu cầu chủ sở hữu và nhà điều hành cơ sở hạ tầng quan trọng phát triển và duy trì Chương trình quản lý rủi ro cơ sở hạ tầng quan trọng (CIRMP) bằng văn bản. CIRMP cho phép xác định các rủi ro và đầu tư vào các biện pháp để bảo vệ cơ sở hạ tầng quan trọng trước các mối đe dọa tiềm tàng. Quy tắc An ninh của cơ sở hạ tầng trọng yếu năm 2023 phác thảo các tiêu chuẩn bảo mật cơ bản phải được đáp ứng trước ngày 17/8/2023.
         
Các chủ sở hữu và nhà điều hành phải cung cấp báo cáo hàng năm cho Bộ Nội vụ (hoặc cơ quan quản lý có liên quan khác). Báo cáo sẽ đánh giá hiệu quả và mức độ chín muồi của các biện pháp giảm thiểu rủi ro của đơn vị và phải được hội đồng quản trị hoặc cơ quan quản lý của đơn vị phê duyệt. Báo cáo đầu tiên đến hạn từ ngày 30/6 đến ngày 28/9/2024.
         
CIRMP phải giải quyết các rủi ro trên bốn vấn đề chính: Không gian mạng và thông tin, nhân sự, chuỗi cung ứng và các mối nguy cơ vật lý và tự nhiên. Điều cần thiết đối với các thực thể cơ sở hạ tầng quan trọng là thiết lập và duy trì các quy trình hoặc hệ thống nhằm giảm thiểu hoặc loại bỏ các tác động tiềm ẩn phát sinh từ các mối nguy hiểm này.
         
Mặc dù việc thực hiện các yêu cầu an ninh bảo vệ được nêu trong luật có vẻ khó khăn, nhưng cũng mang đến cơ hội củng cố các doanh nghiệp cơ sở hạ tầng quan trọng. Thiết kế của đạo luật và các quy tắc chủ yếu dựa trên Khung Chính sách An ninh Bảo vệ Liên bang (PSPF), đã được phát triển trong vài thập kỷ qua.
         
PSPF đóng vai trò như một hướng dẫn cho các cơ quan chính phủ trong việc thực hiện các biện pháp bảo vệ an ninh. PSPF nhấn mạnh cách tiếp cận quản lý rủi ro hơn là tư duy tuân thủ, cho phép các thực thể điều chỉnh các biện pháp bảo mật của họ theo các mục tiêu, môi trường rủi ro và khả năng cụ thể. PSPF cũng khuyến khích sự phát triển của các biện pháp an ninh theo thời gian, trao quyền cho ban quản lý để xác định mức đầu tư phù hợp vào các biện pháp kiểm soát an ninh bảo vệ dựa trên các mối đe dọa đang phát triển.
         
Điều quan trọng là không có mẫu CIRMP nào phù hợp cho tất cả: Mẫu này phải được tùy chỉnh để phù hợp với hoàn cảnh và rủi ro riêng của từng thực thể. Tuy nhiên, PSPF cung cấp một số hiểu biết quan trọng có thể giúp các thực thể phát triển các CIRMP hiệu quả.
         
Đầu tiên là tích hợp bảo mật vào quản trị: Tích hợp bảo mật vào các quy trình kinh doanh hiện có là chìa khóa để tạo ra một CIRMP mạnh mẽ. Điều này liên quan đến việc thúc đẩy các cuộc thảo luận thường xuyên và làm cho bảo mật trở thành một phần không thể thiếu trong quá trình ra quyết định của tổ chức. Thiết lập quản trị rõ ràng ở cấp hội đồng đảm bảo trách nhiệm giải trình và phân bổ hợp lý các nguồn lực.
         
Sử dụng tài nguyên hiện có, xây dựng dựa trên các thông lệ, tiêu chuẩn và thủ tục tốt nhất hiện có cung cấp nền tảng vững chắc cho một CIRMP hiệu quả. Xác định và ưu tiên các nỗ lực để thu hẹp bất kỳ lỗ hổng nào trong các biện pháp bảo mật giúp tối đa hóa việc sử dụng các tài nguyên sẵn có.
         
Bên cạnh đó, việc sắp xếp các mục tiêu bảo mật phù hợp với các nguồn lực phù hợp thể hiện cam kết mạnh mẽ trong việc bảo vệ các tài sản cơ sở hạ tầng quan trọng. Điều cần thiết là phân bổ ngân sách thực tế hỗ trợ việc thực hiện các biện pháp an ninh cần thiết.
        
Hơn nữa, vượt ra khỏi tư duy tuân thủ là rất quan trọng đối với một CIRMP toàn diện. Điều đó có thể bao gồm việc tập trung vào việc hiểu các yếu tố theo ngữ cảnh và triển khai các biện pháp kiểm soát bảo mật động thích ứng với các mối đe dọa đang phát triển. Điều quan trọng nữa là phải nuôi dưỡng văn hóa bảo mật nhằm thiết lập các kỳ vọng rõ ràng, thúc đẩy giao tiếp hiệu quả, thể hiện các phương pháp hay nhất và cung cấp giáo dục liên tục trong toàn tổ chức.
         
Việc thiết lập các số liệu cụ thể, có thể đo lường và đạt được là rất quan trọng để đánh giá hiệu quả của các biện pháp bảo mật. Các số liệu này sẽ cung cấp thông tin chuyên sâu về hoạt động tổng thể của doanh nghiệp và quản lý rủi ro. Báo cáo thường xuyên và đánh giá liên tục là rất quan trọng để theo dõi mức độ hoàn thiện về bảo mật và thúc đẩy các cải tiến.
         
Bằng cách kết hợp những hiểu biết sâu sắc này từ PSPF, chủ sở hữu và nhà điều hành cơ sở hạ tầng quan trọng có thể tự tin phát triển các CIRMP mạnh mẽ và phù hợp để tăng cường bảo vệ tài sản của họ, tăng cường khả năng phục hồi hoạt động và cho phép họ báo cáo kỳ hạn rủi ro theo luật định./.

Thoibaovietuc.com/Nguồn ASPI Strategist