0
West-Australië de auditeur-Generaal uitte zijn teleurstelling over het feit dat overheidsinstanties in de staat, niet het nemen van eenvoudige stappen voor het beveiligen van IT-systemen.
In zijn negende jaarlijkse Information Systems Audit Rapport [PDF], Colin Murphy gepeild vijf overheidsinstanties en gemarkeerd zijn frustratie in het herhalen van opmerkingen die hij heeft gemaakt in de voorgaande controles.
“Teleurstellend, ik moet opnieuw melden dat veel bureaus zijn gewoon niet nemen van de risico’ s voor hun informatie systemen serieus,” Murphy ‘ s overzicht leest. “Ik blijven melden met dezelfde zwakheden, jaar na jaar, en nog veel bureaus zijn nog geen actie te ondernemen.”
Murphy zei hij “bijzonder gefrustreerd” met instanties in de staat, gezien het feit dat veel problemen hij heeft eerder verhoogd kan eenvoudig worden aangepakt. Deze zijn: een slechte wachtwoord management en het waarborgen van processen om gegevens te herstellen en operaties in het geval van een incident op de hoogte bent, legde hij uit.
“Een reëel probleem dat moet worden erkend en aangepakt in de sector is voor de agentschappen van het uitvoerend management aan te gaan met de beveiliging van informatie, in plaats van met betrekking tot het als een zaak voor hun IT-afdelingen,” Murphy voortgezet.
“Zoals recente high-profile malware-bedreigingen hebben ons laten zien, geen agentschap of het systeem is immuun voor deze ontwikkeling en de voortdurende bedreigingen.
“De risico’ s aan reisbureau de operaties en de informatie is echt en moet serieus worden genomen.”
Het rapport beoordeeld belangrijke zakelijke toepassingen op vijf agentschappen: De West-Australische Politie het Imago en de Inbreuk Processing System (IIPS); Navigeren van de Afdeling van Racing, Gaming en Drank; de Chemie van het Centrum van het Laboratorium Informatie Management Systemen (LIS); de Zaak van het Management en Intelligence System (CMIS) van de Corruptie en Misdaad van Commissie; en de Afdeling Financiën van het Project en Contract Management (PACMAN).
De auditeur-Generaal vervolgens bekeken de systematische verwerking en de verzending van gegevens over het beleid en de procedures, back-up en recovery, en de audit trail, naast anderen, als deel van de sonde.
Het rapport benadrukt dat het alle vijf toepassingen controle had over tekortkomingen die werden meestal in verband met de slechte beveiliging van informatie, beleid en procedures. Het maakte 65 bevindingen over de vijf toepassingen, rating vier aanzienlijke, 53 als matig, en acht kleine.
De vier grote bezorgdheid in verband met de veiligheid van gevoelige informatie, back-up en recovery, en verwerking van gegevens.
De Chemie van het Centrum LIS had het hoogste aantal punten, met de Commissaris-Generaal voor 22 bevindingen, met 32 procent afkomstig van de zwakke beveiliging van beleidsregels en procedures.
Terwijl ChemCentre geldt veel technische controles om ervoor te zorgen dat de beveiliging van de applicaties en informatie, aldus het rapport vele controles mogelijk niet voldoet aan de beveiligingsdoelstellingen, zoals het beleid ontbreekt of verouderd is.
“Het wachtwoord beleid, voor het laatst beoordeeld in 2010, stelt gebruikers in staat simpele wachtwoorden als ‘password’ of ‘12345678’. Daarnaast wordt het beleid niet nodig sterkere wachtwoorden voor zeer bevoorrechte netwerk -, database-en applicatie-accounts,” zegt het rapport.
“Als een resultaat, we konden zo gemakkelijk te raden wachtwoorden voor het database systeem administrator-account en een account binnen ForLIMS.”
Als een resultaat, Murphy zes aanbevelingen die ChemCentre moet vaststellen, augustus 2017, inclusief het ontwikkelen van nieuwe en het herzien van bestaande, security policies, het updaten van het risk management framework en het uitvoeren van een risico-evaluatie; het uitvoeren van een business impact assessment en de ontwikkeling van een disaster recovery plan en HET ontwikkelen van een strategisch plan, software development proces en bijwerken van documentatie van de toepassing om te zorgen voor een adequate controle in plaats van gevoelige informatie te beschermen.
De Commissaris-Generaal soortgelijke aanbevelingen aan de andere vier overheidsinstanties, vraagt de Politie om te beoordelen voor het proces voor het beheer van kwetsbaarheden in de beveiliging, software-updates en patches, en te overwegen het automatiseren van de handmatige processen voor op de plek van de overtredingen.
Hij is ook aanbevolen de Afdeling van Racing, Gaming en Likeur kijken naar het automatiseren van de handmatige verwerking en dat het beter definiëren access management voor haar systemen.
De auditeur-Generaal ook onderzoek gedaan op de general computer controls (GCC) binnen de overheid entiteiten om te bepalen of de computer regelt effectieve ondersteuning van de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen.
GCC zijn controle over de IT-omgeving als geheel, computer operations, toegang tot programma ‘s en gegevens, programma-ontwikkeling en-programma, gericht op het beheer van IT-risico’ s, informatiebeveiliging, de continuïteit van de business, change control, fysieke veiligheid, en u de IT-activiteiten.
“We gemeld 441 GCC problemen met de 46 instanties gecontroleerd in 2016, in vergelijking met 454 problemen op 45-agentschappen in 2015,” zegt het rapport. “Er was ook een afname in het aantal instanties beoordeeld als het hebben van volwassen algemene controle van de computer omgevingen op alle zes de categorieën van onze beoordeling.”
Slechts zeven agentschappen voldaan aan de Auditor-Generaal van de verwachtingen voor het beheer van de computer omgevingen effectief, in vergelijking met 10 in 2015.
De resultaten voor informatiebeveiliging en business continuity werden gemarkeerd met de tegenvallende door Murphy, met 61 procent van de agentschappen niet te bereiken een niveau drie of hoger in de beveiliging van informatie, met 73 procent niet te voldoen aan niveau drie of hoger in de continuïteit van de business.
Echter, Lotterywest, de Afdeling van de Premier en het Kabinet, en Racen en Inzet West-Australië werden gemarkeerd met de consequent het aantonen van goede praktijken in alle gebieden beoordeeld.
Slechts 39 procent van de agentschappen voldaan aan de Auditor-Generaal van de benchmark voor een effectief beheer van de beveiliging van informatie, dat is een daling van 1 procent ten opzichte van het voorgaande jaar.
Murphy maakte zes aanbevelingen aan overheid en instanties in December, nadat het werd gevonden in de zes organisaties eerder het doelwit van een malware-campagnes.
De Afdeling van de Procureur-Generaal, Ministerie van Mijnen en Aardolie, Ministerie van Transport, de Belangrijkste Wegen in West-Australië, en de Zetel van de Regering Chief Information Officer (OGCIO) bleken onder constante bedreiging, die de Commissaris-Generaal zei: benadrukte de noodzaak voor een betere centrale governance afspraken te identificeren, te waarschuwen, en het voorkomen van aanvallen.
Onder het zorgvuldig bekijken van de OGCIO — opgericht in juli 2015 — Murphy zei eerder dat hij wilde zien wat het WA publieke sector overwegen methoden te bevorderen “samenwerking, informatie en resource sharing” tussen instanties. Hij stelde ook de publieke sector het verzamelen van informatie om goed te begrijpen is de dreiging van malware en andere cyberdreigingen aan de overheid.
Het Queensland Audit Office (QAO) ook ingediend voor een verslag van deze week, gericht op de Beveiliging van kritieke water infrastructuur in de staat.
Het rapport [PDF] voor het water gevonden controlesystemen in Queensland waren niet zo veilig als ze zouden moeten zijn, wijzend op de leeftijd van veel van de controle systemen, gecombineerd met de meer recente integratie met bedrijfsnetwerken, had geleid tot hogere risico ‘ s die niet altijd erkend en getest door de entiteiten zelf.
“Beveiligingscontroles niet voldoende beschermen tegen interne of externe informatie-technologie-gerelateerde aanvallen,” aldus het verslag, nota nemend van alle entiteiten in hoeverre waren gevoelig voor inbreuken op de beveiliging of hacking aanvallen te wijten aan tekortkomingen in de processen en controles.
Van belang voor de QAO is de kans op aanvallen te verstoren, water-en afvalwaterzuivering diensten, alsmede de daarmee samenhangende diensten die afhankelijk zijn van de entiteiten’ IT-omgevingen.
“Er was een gevaar voor de publieke gezondheid en de aanzienlijke economische schade, in termen van verloren productiviteit, niet alleen om water dienstverleners, maar ook aan burgers en bedrijven,” de QAO schreef.
De audit is gebleken dat, hoewel alle gecontroleerde entiteiten hadden de mogelijkheid om te reageren op informatie beveiligingsincidenten als gedetecteerd, ze waren niet goed voorbereid om te reageren op cyberaanvallen, zoals ze hadden het niet gepland of getest respons en herstel van een kwaadaardige of cyber incident.
De QAO was bang dat entiteiten zich had gemeld dat ze kunnen opereren kleinere planten of delen van hun grotere waterzuiveringsinstallaties handmatig in het geval van een storing aan computer systemen, maar niet had aangetoond dat een dergelijke mogelijkheid.
Als een resultaat, het rapport raadt water dienstverleners identificeren van risico ‘ s van informatietechnologie inbreuken op de beveiliging, het implementeren van besturingselementen voor beveiliging van systemen en het controleren en beoordelen van de effectiviteit van de controles.
“Terwijl de entiteiten die wij gecontroleerd hebben stappen ondernomen in de afgelopen jaren aan het verbeteren van informatie-technologie, de veiligheid, de resultaten van dit onderzoek blijkt dat het management meer moet doen in termen van toezicht, leiding en richting,” aldus het verslag.
Laatste Australische nieuws
Australië encryptie dwarsbomen gedachte is beladen
Ransomware stopt productie bij Cadbury ‘ s Tasmaanse chocolade fabriek
Brisbane City Council “niet langer begaan” te commercieel resolutie: TechnologyOne
NBN te stimuleren gegevens quota beschikbaar over de Hemel Opbrengen
Het rekenhof dringt myGov ‘grotendeels effectief’ ondanks de verdrievoudiging van de initiële begroting
0