0
Western Australia riksrevisorn har uttryckt sin besvikelse över att myndigheter i den staten är inte vidta enkla åtgärder för att skydda IT-system.
I sin nionde årliga Information Systems Audit Rapport [PDF], Colin Murphy har sökt fem statliga myndigheter och underströk hans frustration i att upprepa kommentarer han gjort i tidigare revisioner.
“Tyvärr, jag måste återigen rapporterar att många byråer är helt enkelt inte ta risker för att deras informationssystem allvar,” Murphy ‘ s översikt läser. “Jag fortsätter att rapportera samma gemensamma svagheter år efter år och ändå är det många myndigheter fortfarande inte vidta åtgärder.”
Murphy sade att han är “särskilt frustrerad” av myndigheter i den staten, med tanke på att många frågor han har tidigare tagit upp kan lätt åtgärdas. Dessa inkluderar dålig hantering av lösenord och säkra processer för att återställa data och funktioner i händelse av en incident hålls uppdaterad, förklarade han.
“En angelägen fråga som måste uppmärksammas och åtgärdas i hela sektorn är för byråernas verkställande ledningen att engagera sig med informationssäkerhet, istället för att se det som en fråga för sina IT-avdelningar,” Murphy fortsatte.
“Som nyligen hög profil malware hot har visat oss, att ingen myndighet eller ett system är immun mot dessa utvecklas och pågående hot.
“Risk för byråns verksamhet och information är verkliga och måste tas på allvar.”
I rapporten granskades viktiga affärsprogram på fem byråer: Western Australian Polisen Image och Överträdelse Processing System (IIPS); Navigera från Institutionen för Racing, Spel och Sprit, kemicentrum s Laboratory Information Management Systems (LIS), Case Management och Intelligence System (CMIS) av Korruption och Brottslighet Kommissionen; och Institutionen för Finansiering av Projekt och Förvaltning av Avtal (PACMAN).
Riksrevisorn då över en systematisk bearbetning och hantering av data över riktlinjer och rutiner för säkerhetskopiering och återställning, och verifieringskedjan är i tillägg till andra, som en del av sin sond.
Rapporten visar att alla fem ansökningar hade svagheter som var mest relaterade till dålig information security, riktlinjer och procedurer. Det gjorde 65 resultat över fem ansökningar, betyg fyra som betydande, 53 som måttlig, och åtta mindre.
De fyra stora problem som är relaterade till säkerhet för känslig information, säkerhetskopiering och återställning, och bearbetning av data.
Kemicentrum är LIS hade högst antal frågor, med riksrevisorn att göra 22 resultat, med 32 procent till följd av svag säkerhetsregler och rutiner.
Medan ChemCentre gäller många tekniska kontroller för att säkerställa säkerheten i sina applikationer och information, enligt rapporten många kontroller kanske inte uppfyller mål för säkerheten politik som saknas eller är föråldrade.
“Lösenordsprinciper, senast granskade under 2010, gör det möjligt för användare att skapa enkla lösenord som “password” eller “12345678′. Dessutom, den politik som inte kräver starkare lösenord för mycket privilegierat nätverk, databaser och tillämpning konton,” säger rapporten.
“Som ett resultat, var vi lätt kunna gissa lösenord för databasen för administratörskontot och för företag inom ForLIMS.”
Som ett resultat, Murphy gjorde sex rekommendationer som ChemCentre bör anta av augusti 2017, vilket inkluderar utveckling av nya och revidering av befintlig, säkerhetspolicy, uppdatera sin ram för riskhantering och göra en riskbedömning, bedriva en verksamhet konsekvensanalys och utveckla en katastrofplan, och utveckla en IT-strategisk plan, process utveckling av programvara och uppdatering av dokumentation för att säkerställa att lämpliga kontroller finns på plats för att skydda känslig information.
Riksrevisorn har gjort liknande rekommendationer till andra fyra enheter regeringen, frågar Polisen för att se över processen för att hantera säkerhetsproblem, programuppdateringar och patchar, och att överväga att automatisera manuella processer för att på plats överträdelser.
Han rekommenderade också att Institutionen för Racing, Spel och Sprit ser till att automatisera manuella processer och att få det att bättre definiera access management för sina system.
Riksrevisionen har också genomfört en utredning om den allmänna datorn kontroller (GCC) inom myndigheter för att avgöra om datorn styr effektivt stöd för sekretess, integritet och tillgänglighet av information och system.
GCC har kontroll över IT-miljön som helhet, dator, tillgång till program och data, utveckling av utbildningsprogram och program för förändringar, med fokus på hantering av IT-risker, information, trygghet, kontinuitet, förändring kontroll, fysisk säkerhet och IT-drift.
“Vi rapporterade 441 GCC frågor till 46 myndigheter granskade 2016, jämfört med 454 frågor på 45 organ 2015,” säger rapporten. “Det var också en minskning i antalet myndigheter som bedöms ha gammal allmän dator kontroll miljöer över alla sex kategorier av vår bedömning.”
Bara sju byråer träffade Revisorn de Allmänna förväntningar för att hantera sin dator miljöer på ett effektivt sätt jämfört med för 10 år 2015.
Resultatet för information säkerhet och kontinuitet markerades som en besvikelse av Murphy, med 61 procent av byråer som underlåter att uppnå en nivå tre eller högre i informationssäkerhet, med 73 procent att de inte uppfyller nivå tre eller högre i kontinuitet.
Men Lotterywest, Institutionen för Premier och Skåp, och Racing och Vadslagning Västra Australien var flaggas som konsekvent visar god förvaltning praxis inom alla områden som bedöms.
Endast 39 procent av organ träffade Revisorn Allmänt riktmärke för att effektivt hantera informationssäkerhet, vilket var en minskning med 1 procent från föregående år.
Murphy gjorde sex rekommendationer till statliga myndigheter i December, efter att det konstaterades sex byråer hade tidigare varit föremål för malware kampanjer.
Institutionen för Attorney General, Institutionen för Gruvor och Petroleum, Department of Transport, större Vägar i Västra Australien, och Office of Government Chief Information Officer (OGCIO) befanns vara under konstant hot, som riksrevisorn sade betonade behovet av en bättre central styrning arrangemang för att upptäcka, varna och förhindra attacker.
Under noggrann övervakning av OGCIO — inrättades i juli 2015 — Murphy sade tidigare att han ville se den WA offentliga sektorn överväga metoder för att främja “ett samarbete, information och resursfördelning” mellan myndigheter. Han föreslog också att den offentliga sektorn samlar in information för att korrekt förstå hotet från skadlig kod och andra cyberthreats till staten.
Queensland Audit Office (QAO) också lagt fram en rapport i veckan, fokuserar på skydd av kritisk infrastruktur för vatten i staten.
Rapporten [PDF] fann vatten kontrollsystem i Queensland var inte lika säkra som de borde ha varit, att notera ålder av många av systemen för kontroll, i kombination med nyare integration med företagets nätverk, hade resulterat i högre risker som inte hade alltid godkänts och testats av enheterna själva.
“Säkerhetskontroller inte i tillräckligt hög grad skyddar dem från interna eller externa it-relaterade attacker,” säger rapporten, notera alla enheter har sökt var mottagliga för brott mot säkerheten eller dataintrång attacker på grund av brister i processer och kontroller.
Av oro för att den QAO är risken för angrepp för att störa vatten-och avloppsrening tjänster, samt relaterade tjänster som är beroende av företags IT-miljöer.
“Det fanns en risk för människors hälsa och betydande ekonomiska förluster i form av förlorad produktivitet, inte bara vatten tjänsteleverantörer men också för medborgare och företag” QAO skrev.
Granskningen visade att även om alla enheter som granskades hade förmåga att svara för att informationssäkerheten om de upptäcks, de var inte väl förberedda att möta cyberattacker som de inte hade planerat eller testat svar och återhämtning från skadlig eller it-incidenter.
Den QAO var orolig att de enheter som hade meddelat att de kan verka mindre anläggningar eller delar av deras större reningsverk manuellt i händelse av avbrott i de datorsystem, men hade inte visat sådan kapacitet.
Som ett resultat av rapporten rekommenderar vatten tjänsteleverantörer identifiera risker för informationsteknologi brott mot säkerheten, genomföra kontroller för att skydda system och följa och granska effektiviteten i kontrollerna.
“Medan enheter som vi granskat har vidtagit åtgärder under senare år för att förbättra sin it-säkerhet, resultaten av denna granskning visar att förvaltningen behöver för att göra mer i termer av styrning, ledarskap och riktning,” säger rapporten.
Senaste Australiska nyheter
Australiens kryptering motarbeta tanken är fylld
Ransomware stoppar produktionen i Cadbury ‘ s Tasmanska chokladfabriken
Brisbane City Council “inte längre åtagit sig” att kommersiella upplösning: TechnologyOne
NBN för att öka data tillgängliga kvoter över Himlen Uppbåda
Riksrevisionen begär myGov ‘i stort sett effektiv, trots en tredubbling av ursprungliga budgeten
0