0
I det vestlige Australien rigsrevisionen har udtrykt sin skuffelse over, at offentlige institutioner i stat, er ikke at tage enkle forholdsregler for at beskytte IT-systemer.
I hans niende Information Systems Audit Rapport [PDF], Colin Murphy tastede fem offentlige institutioner og fremhævede hans frustration i at gentage bemærkninger, som han har gjort i tidligere revisioner.
“Skuffende, må jeg igen rapport, at mange organer er simpelthen ikke tage risikoen for at deres informationssystemer alvorligt,” Murphy ‘ s oversigt læser. “Jeg fortsætte med at rapportere de samme fælles svagheder, år efter år, og alligevel er der mange organer er stadig ikke at tage handling.”
Murphy sagde, at han er “særligt frustreret” med organer i den medlemsstat, i betragtning af, at mange emner, som han har tidligere rejst kan nemt rettes. Disse omfatter dårlig password management og sikre processer til at gendanne data og operationer i tilfælde af en hændelse ikke er holdt opdateret, forklarede han.
“Et presserende problem, der skal anerkendes og behandles på tværs af sektoren er for agenturer’ executive management til at engagere sig med informationssikkerhed, i stedet for at betragte det som en sag for deres IT-afdelinger,” Murphy fortsat.
“De seneste høj-profil malware-trusler, der har vist os, ingen agentur eller systemet er immune over for disse udvikler sig og løbende trusler.
“Risikoen for, at agenturets aktiviteter og oplysninger er rigtige og har behov for at blive taget alvorligt.”
Den rapport gennemgås centrale business-applikationer i fem organisationer: Den Vestlige Australske Politi ‘s Image og Overtrædelse System (IIPS); Navigere fra Institut for Racing, Gaming og Spiritus, Kemi Center’ s Laboratorium, ledelsesinformationssystemer (LIS), Case Management og Intelligence System (CMIS) af Korruption og Kriminalitet Kommissionen og Finansministeriet ‘ s Forvaltning af projekter og kontrakter (PACMAN).
Rigsrevisionen gennemgik derefter den systematiske behandling og håndtering af data på tværs af politikker og procedurer for backup og recovery, og revisionsspor, i tillæg til andre, som en del af sin sonde.
Rapporten understreger, at alle fem ansøgninger havde kontrol svagheder, der var for det meste relateret til dårlig informationssikkerhed, politikker og procedurer. Det gjorde 65 resultater på tværs af de fem ansøgninger, rating fire væsentlige, 53 som moderat, og otte som mindre.
De fire væsentlige betænkeligheder relateret til sikring af følsomme oplysninger, backup og recovery, og data behandling.
Kemi centrets LIS havde det højeste antal af problemer med at rigsrevisionen foretager 22 resultater, med 32 procent, der stammer fra dens svage sikkerhedspolitikker og-procedurer.
Mens ChemCentre gælder mange tekniske kontroller til at sikre sikkerheden af its-applikationer og-oplysninger, betænkningen sagde mange kontroller er muligvis ikke opfylde sikkerhedsmæssige mål, som de politikker, der mangler eller er forældet.
“Password-politik, senest revideret i 2010, giver brugerne mulighed for at indstille simple passwords som “adgangskode” eller “12345678′. Hertil kommer, at den politik, der ikke kræver stærkere adgangskoder for meget privilegeret netværk, database, og anvendelsen af konti,” siger rapporten.
“Som et resultat, vi var let i stand til at gætte adgangskoder til den database system administrator-konto, og for konti inden for ForLIMS.”
Som et resultat, Murphy lavet seks anbefalinger, som ChemCentre bør vedtage af August 2017, der omfatter udvikling af nye og gennemgang af eksisterende, sikkerhed politikker; opdatering af sin ramme for risikostyring og foretage en risikovurdering gennemføre en business impact assessment og udvikle en disaster recovery plan, og at udvikle en IT-strategisk plan, software udvikling og opdatering af dokumentation til at sikre passende kontrol er indført for at beskytte følsomme oplysninger.
Rigsrevisionen foretaget lignende anbefalinger til de fire andre offentlige enheder, der beder Politiet om at gennemgå processen for administration af sikkerhedshuller, software-opdateringer og patches, og til at overveje at automatisere sin manuelle processer for på stedet overtrædelser.
Han anbefalede også, Institut for Racing, Gaming og Spiritus kig ind automatisere sin manuelle processer, og at det er bedre at definere access management for sine systemer.
Rigsrevisionen har ligeledes foretaget en undersøgelse af de generelle edb-kontroller (GCC) inden for offentlige myndigheder at afgøre, om computeren styrer effektivt at støtte den fortrolighed, integritet og tilgængelighed af it-systemer.
GCC omfatte kontrol over DET miljø som helhed, edb-drift, adgang til programmer og data, programudvikling og program ændringer, der fokuserer på ledelse af IT-risici, sikkerhed, business kontinuitet, forandring, kontrol, fysisk sikkerhed og IT-drift.
“Vi rapporterede 441 GCC spørgsmål til 46 organer revideres i 2016, sammenlignet med 454 spørgsmål på 45 kontorer i 2015”, siger rapporten. “Der var også et fald i antallet af agenturer, der er vurderet til at have gamle generelle edb-kontrol miljøer på tværs af alle seks kategorier i vores vurdering.”
Kun syv kontorer mødte Auditor General ‘ s forventninger til at styre sin it-miljøer, der effektivt, sammenlignet med 10 i 2015.
Resultaterne for it-sikkerhed og kontinuitet var markeret som skuffende af Murphy, med 61 procent af agenturer har undladt at opnå et niveau tre eller højere i informationssikkerhed, med 73 procent, der ikke opfylder niveau tre eller højere i business continuity.
Men Lotterywest, Institut for Premier og Kabinet, og Racing og Væddemål i det Vestlige Australien, blev markeret som konsekvent viser god ledelsespraksis på tværs af alle områder, som er vurderet.
Kun 39 procent af de agenturer, der mødte Auditor General ‘ s benchmark for effektiv styring af informationssikkerhed, som faldt med 1 procent fra det foregående år.
Murphy lavede seks anbefalinger til statslige myndigheder i December, efter det blev fundet seks agenturer, der tidligere havde været mål for malware kampagner.
Department of Attorney General [statsadvokaten], Institut for Miner og Olie, Institut for Transport, de Vigtigste Veje i det Vestlige Australien, og Kontoret for Offentlige Chief Information Officer (OGCIO) blev fundet til at være under konstant trussel, som rigsrevisionen sagde fremhævet behovet for en bedre central styring til at identificere, advare og forebygge angreb.
Under omhyggelig ur af OGCIO — etableret i juli 2015 — Murphy sagde tidligere, at han ønskede at se, WA den offentlige sektor overveje metoder til at fremme “samarbejde, information og ressource sharing” mellem de forskellige instanser. Han foreslog også, at den offentlige sektor indsamle oplysninger til korrekt forstå truslen fra malware og andre cyberthreats til staten.
Queensland Audit Office (QAO) også fremlagt en rapport i denne uge, med fokus på Sikkerheden i kritiske vand, infrastruktur, i staten.
Rapporten [PDF] fandt vand kontrolsystemer i Queensland var ikke så sikre, som de burde have været, idet den alder, mange af de kontrol-systemer, kombineret med nyere integration med virksomhedens netværk, havde resulteret i højere risici, der ikke altid havde været anerkendt og testet af enheder i sig selv.
“Sikkerhedskontrol ikke i tilstrækkeligt omfang beskytter dem fra interne eller eksterne informations-teknologi-relaterede angreb,” hedder det i rapporten, at bemærke, at alle enheder tastede var modtagelige for brud på sikkerheden eller hacking angreb på grund af svagheder i processer og kontroller.
Af interesse for QAO er potentiale for angreb, for at afbryde vand og behandling af spildevand tjenester, samt relaterede tjenester, der er afhængige af de enheder, som’ IT-miljøer.
“Der var en risiko for den offentlige sundhed og betydelige økonomiske tab i form af tabt produktivitet, ikke kun til vand-udbydere, men også for borgere og virksomheder,” QAO skrev.
Revisionen viste, at mens alle enheder, der er revideret havde kapacitet til at reagere på it-sikkerheden hvis der opdages, de var ikke parate til at svare til cyber-angreb, som de ikke havde planlagt eller testet indsats og genoprettelse fra en ondsindet eller cyber hændelse.
Den QAO blev bange for, at foretagender, der havde rapporteret, at de kunne operere mindre planter eller dele af deres større vandbehandlingsanlæg manuelt i tilfælde af en afbrydelse til edb-systemer, men ikke havde vist en sådan evne.
Som et resultat, anbefaler rapporten, vand udbydere identificere risici for it-sikkerhed brud, gennemføre kontrol for at beskytte systemer, og overvåge og vurdere effektiviteten af kontrollerne.
“Mens de reviderede enheder, som vi har taget skridt i de senere år for at forbedre deres it-sikkerhed, resultaterne af denne undersøgelse viser, at ledelsen er nødt til at gøre mere med hensyn til tilsyn, ledelse og retning”, siger rapporten.
Seneste Australske nyheder
Australien ‘ s kryptering modarbejde tanken er fyldt
Ransomware stopper produktionen på Cadbury ‘ s Tasmanske chokolade-fabrikken
Brisbane City Council “ikke længere forpligtet” til kommerciel beslutning: TechnologyOne
NBN til at øge data tilgængelige kvoter over Himlen Mønstre
Audit Office opkald myGov ‘i høj grad effektiv”, på trods af tredobling oprindelige budget
0