0
Zahlreiche Verfehlungen aufgedeckt wurden, wie Singapur Regierung, Ministerien und Agenturen managed Ihre IT-Systeme, zu denen nicht genehmigte administrative änderungen und unberechtigtem Zugriff durch Dritte.
Diese Versäumnisse wurden hervorgehoben durch den Auditor-General ‘ s Office (AGO) in Ihrer jährlichen überprüfung der staatskonten für das Geschäftsjahr mit Ende März 31, 2017. Die Bewertung abgedeckt acht Bereichen, einschließlich der Beschaffung und Zahlung -, Finanz-Kontrollen IT-Kontrollen, – und Vertrags-management. Alle 16 Ministerien, die 12 gesetzlichen boards und fünf staatseigenen Unternehmen waren unter den geprüften.
Die WOCHE sagte, es Schwachstellen in IT-Kontrollen über mehrere Unternehmen des öffentlichen Sektors, von denen einige waren ähnlich denen hervorgehoben, die in früheren Prüfungen.
“Der Mangel an Aufmerksamkeit auf diese Bereiche beobachtet, in einigen Unternehmen ist von Bedeutung im Hinblick auf den öffentlichen Sektor ist die hohe Abhängigkeit von IT-Systemen und-Daten für die Operationen der Regierung, und der sich schnell entwickelnden IT-security-Bedrohungen,” merkte in seinem Bericht am Dienstag veröffentlicht.
Das Büro fügte hinzu, dass ES war weit verbreitet in Singapur den öffentlichen Sektor zu verwalten, finanzielle Transaktionen, Dialog mit Bürgern und Unternehmen verbessern sowie Produktivität der Arbeit. Diese staatlichen Einrichtungen auch die Verwaltung großer Mengen von Daten, die mit personenbezogenen und anderen sensiblen Informationen.
Inmitten einer Landschaft, wo cybersecurity-Bedrohungen immer größer werden, die WOCHEN unterstreicht die Notwendigkeit von Singapur ist der öffentliche Sektor dazu aufgefordert, wirksame Maßnahmen zum Schutz Ihrer IT-Systeme und Daten.
In seinem Bericht stellte fest, mehrere Lücken in der IT-Kontrollen unter der Aufsicht der Central Provident Fund Board (CPFB), Singapore Corporation, Rehabilitative Unternehmen (SCORE), der National Parks Board (NParks), und dem Ministerium für Soziales und Familie Entwicklung (MSF).
Die CPFB, zum Beispiel, nicht zu überwachen Ihre IT-security-Systeme und nicht autorisierte änderungen an den Datenbanken und Systemen. Während des Tests prüft der system-logs über drei Monate, der WOCHEN festgestellt, dass 88.7 Prozent der änderungen, CPFB-Administratoren wurden nicht vorab genehmigt. Alert-reports, die erzeugt werden für die überprüfung durch einen IT-Sicherheits-monitoring-system auch unvollständig waren.
Darüber hinaus 14 Benutzer-accounts nicht entfernt wurden, unverzüglich nach Mitarbeiter hatte der Vorstand. Von diesen sechs Konten wurden nach den Mitarbeitern der Letzte Arbeitstag und die Identität derer, die Zugriff auf die Konten konnten nicht ermittelt werden.
Ähnliche Verfehlungen fanden sich am NParks, die nicht zu entfernen Zugriffsrechte von 104 gesperrten Nutzer-Konten, nachdem die Mitarbeiter hatten linke Organisationen, einige so weit zurück, wie vor einem Jahrzehnt.
Über bei MSF, die beobachtet wurde über 11 Monate, 595 Instanzen von access, indem Sie Ihre IT-Hersteller team gefunden wurden, unangebracht und sollte einer weiteren Untersuchung. In der Tat, 560 beteiligten Instanzen die IT-Hersteller die Verwendung eines privilegierten system-Benutzer-account–, die nicht Eigentum des Verkäufers–Zugriff auf die MSF-Systeme.
“Diese Verletzungen der IT-Kontrollen gefährden könnten, die Vertraulichkeit und Integrität der Daten in den Systemen, was ein Durchsickern von Informationen oder Korruption von Daten, die für die Berechnung von Prämien oder Subventionen im Rahmen der Systeme [bearbeitet von MSF],” die WOCHE gesagt.
Singapur enthüllt drastische bewegen, setzt die Regierung in Prä-internet-ära
Regierung von Singapur blockiert internet Zugriff auf alle Arbeitsplätze der Beschäftigten des öffentlichen Dienstes vom Mai 2017, in eine Bewegung, wirft kritische Fragen über seine smart nation und e-government-Dienstleistungen.
In seiner Antwort, Singapur Finanzministeriums sagte, die Regierung “das gesamte system der Verwaltung der öffentlichen Mittel noch sound”, aber es bestätigt es gab Raum für Verbesserungen identifiziert der Bericht VOR, einschließlich IT-Kontrollen.
“Während wir erkennen, es ist nicht möglich, vollständig zu eliminieren die individuelle menschliche Verfehlungen, Fehler oder Fehleinschätzung der öffentliche Dienst nimmt eine konzertierte Anstrengung zur Bewältigung der identifizierten Probleme… die Köpfe von den zuständigen stellen überprüft haben jedem Fall und erforderlichenfalls entsprechende Maßnahmen wurden oder werden ergriffen gegen die Verantwortlichen,” das Ministerium sagte.
In seiner Prüfung im letzten Jahr, die WOCHE klopfte das Ministerium für Gesetz für nicht richtig überwachen und überprüfen von Protokollen mit Tätigkeiten, die von externen IT-Anbietern, insbesondere solche mit IPTOBis-Server. Diese Systeme wurden durch das Gesetz-Ministerium zu verwalten Fällen, in Bezug auf seine Insolvenz, öffentliches Treuhänder und Verwandte regulatorische Funktionen. Korrekte Bewertungen des Aktivitätsprotokoll ermöglicht hätten, das Ministerium zu erkennen und unbefugten den Zugang zum system oder zu ändern, die VOR, sagte, hinzufügen 44 Benutzer-Konten vorübergehend zur Verfügung gestellt werden IT-Anbieter hatte nicht entfernt worden, nachdem diese nicht mehr benötigt.
Regierung outlaws Benutzung nicht zugelassener USB-Sticks
Die AGO-report folgte eine Woche, nachdem die Regierung von Singapur präsentierte seinen Entwurf für cybersecurity bill, in denen neue Rechtsvorschriften erfordern würde, dass die Betreiber von lokalen kritischen Informations-Infrastrukturen zu ergreifen, um den Schutz Ihrer Systeme und rasch Bericht Bedrohungen und Vorfälle. Veröffentlicht durch das Ministerium für Kommunikation und Information (MCI) und Cyber-Security Agency (CSA), die vorgeschlagenen neuen Gesetze würden auch den Informationsaustausch über kritische Sektoren und erfordern ausgewählte Dienstleister sowie Einzelpersonen lizenziert werden.
Letzte Woche, die Regierung der Technologie-Agentur (GovTech) angekündigt, dass alle Mitarbeiter der Regierung vom 25. Juli wäre in der Lage, verwenden Sie nur autorisierte USB-Speicher-Laufwerke. Ein pool von portable storage devices, erfüllte die Regierung die Sicherheit der Anforderungen zur Verfügung gestellt werden, um öffentlich Bedienstete, die auf ein “arbeiten müssen Grundlage”, die von der Regierung CIO office sagte örtlichen Medien. Sie fügte hinzu, dass andere tools wie file-transfer-Geräte auch zur Verfügung gestellt würden, um Regierungsbehörden.
GovTech sagte: “USB-Speicher-Geräte, die weiterhin ein Mittel zum einführen von malware und exfiltrate Daten, insbesondere, da Sie das Potenzial haben, einfach fehl am Platz.”
Der Letzte Schritt kam mehr als ein Jahr, nachdem die Regierung sagte, es würde den internet-Zugang unter seinen 143.000 Mitarbeiter der öffentlichen Bediensteten, so dass Sie nur den Zugriff auf das intranet-und e-mail-über Ihren Arbeitsplatz.
Den vollständigen online-Zugriff wäre nur über die vorgesehenen Klemmen, obwohl die Mitarbeiter der Regierung immer noch erlaubt werden würde, um im web zu surfen, über Ihre eigenen persönlichen mobilen Geräten, die hätten keinen Zugang zu geschäftlichen e-mail-Systeme.
0