0
Mange bortfalder, er blevet afsløret over, hvordan Singapore ministerier og agenturer, der forvaltes af deres IT-systemer, som omfatter ikke-godkendte administrative ændringer og uautoriseret adgang fra tredjepart.
Disse forglemmelser blev fremhævet af Auditor-General ‘ s Office (SIDEN) i den årlige revision af offentlige regnskaber for det regnskabsår, der sluttede 31 Marts 2017. Den vurdering, der er omfattet otte områder, herunder indkøb og betaling, finansiel kontrol, kontrol, – og contract management. Alle 16 ministerier, 12 lovpligtige bestyrelser, og fem statsejede virksomheder var blandt dem, der er revideret.
SIDEN sagde, at det identificerede svagheder i IT-kontroller på tværs af flere offentlige enheder, hvoraf nogle svarer til dem, der er fremhævet i tidligere revisioner.
“Den manglende opmærksomhed på disse områder, der er observeret i nogle enheder, som er problematiske i lyset af den offentlige sektors høj grad af afhængighed af IT-systemer og data for offentlige aktiviteter, og den hurtige udvikling af IT-sikkerhedstrusler,” bemærkede i sin rapport, udgivet tirsdag.
Kontoret tilføjede, at DET var almindeligt udbredt i Singapore offentlige sektor, til at styre de finansielle transaktioner, samarbejde med borgere og virksomheder, samt øge produktiviteten. Disse statslige organer også at håndtere store mængder af data, som indeholder personoplysninger og andre følsomme oplysninger.
Midt i et landskab, hvor cybersecurity trusler var stigende, SIDEN understregede behovet for Singapore offentlige sektor til at træffe effektive foranstaltninger til at sikre deres IT-systemer og data.
I sin rapport, er det bemærkede flere bortfalder i DEN kontrol, der hører under det Centrale Provident Fund Board (CPFB), Singapore Selskab af Rehabiliterende Virksomheder (SCORE), de Nationale Parker Bord (NParks), og Ministeriet for Sociale og Familie Udvikling (MSF).
Den CPFB, for eksempel, undladt at kontrollere sin sikkerhed i IT-systemer og uautoriserede ændringer til dets databaser og systemer. Under test kontrol af systemets logfiler over tre måneder, SIDEN besluttet, at 88.7 procent af de ændringer, der er foretaget af CPFB administratorer var ikke på forhånd har godkendt. Advarsel rapporter, der er genereret til gennemgang af sikkerhed i IT-overvågnings-system, der også var ufuldstændige.
Hertil kommer, at 14 brugerkonti, der ikke blev fjernet straks efter medarbejdere havde forladt bestyrelsen. Af disse seks konti blev brugt efter den ansattes sidste arbejdsdag, og navnene på dem, der har adgang til de konti, der ikke kunne bestemmes.
Tilsvarende bortfalder blev fundet på NParks, som ikke fjerner ret til adgang af 104 suspenderet brugerkonti efter, at de ansatte havde forladt organisationer, nogle så langt tilbage som for et årti siden.
Over på læger uden grænser, som blev overvåget i løbet af 11 måneder, 595 forekomster af access ved sin IT-leverandør hold blev anset for at være uhensigtsmæssigt og bør have krævet yderligere undersøgelser. I virkeligheden, 560 tilfælde, der er involveret IT-leverandørs brug af en privilegeret system brugerkonto–, der ikke hører til sælger-at få adgang til læger uden grænsers systemer.
“Disse overtrædelser af denne kontrol kunne kompromittere fortroligheden og integriteten af de data i systemer, hvilket resulterer i en lækage af oplysninger eller korruption af data, der anvendes til beregning af bonusser eller tilskud i henhold til de ordninger [behandlet af læger uden grænser],” SIDEN sagde.
Singapore afslører drastisk træk, der sætter regeringen i pre-internet æra
Singapores regering blokerer adgang til internettet på alle arbejdsstationer, der anvendes af ansatte i den offentlige sektor fra Maj 2017, i en bevægelse, der kaster op kritiske spørgsmål vedrørende sin smart nation og e-forvaltningstjenester.
I sit svar, Singapore Ministry of Finance sagde regeringens “samlede system til forvaltning af offentlige midler er fortsat lyd”, men det anerkendt, at der var plads til forbedringer, som identificeres af SIDEN rapport, herunder i IT-kontroller.
“Vi anerkender, at det ikke er muligt helt at fjerne individuelle menneskelige bortfalder, fejl eller fejlbedømmelse, at den offentlige service er under en samordnet indsats for at løse de problemer, der blev identificeret… Lederne af de myndigheder, der er ansvarlige har gennemgået hvert enkelt tilfælde, og hvor det er påkrævet, passende tiltag har været eller vil blive truffet mod de ansvarlige,” sagde ministeriet.
I sin revision sidste år, SIDEN rappede Ministeriet for Lov til ikke korrekt, overvåge og gennemgå logfiler, der indeholder aktiviteter, der udføres af eksterne IT-leverandører, specielt dem der involverer IPTOBis servere. Disse systemer blev brugt af loven ministeriet til at håndtere sager vedrørende insolvens, offentlig administrator, og relaterede regulerende funktioner. Rigtige anmeldelser af den aktivitet, log, gjorde det muligt for ministeriet at opdage uautoriseret adgang til systemet eller ændre SIDEN sagde, tilføjer, at 44 brugerkonti midlertidigt, forudsat at IT-leverandører ikke er blevet fjernet, efter at disse var ikke længere nødvendig.
Regeringen forbyder brug af uautoriserede USB-drev
SIDEN rapport, der blev fulgt på i en uge efter Singapores regering fremlagde sit udkast til cybersecurity bill, der beskriver nye lovgivning, der ville kræve lokale operatører af kritisk informationsinfrastruktur at tage skridt til at beskytte deres systemer og hurtigt rapport, trusler og hændelser. Udgivet af Ministeriet for Kommunikation og Information (MCI) og Cyber Security Agency (CSA), forslag til nye love, der også vil lette udveksling af oplysninger på tværs af kritiske sektorer og kræver udvalgte leverandører samt enkeltpersoner til at have licens.
I sidste uge, er Regeringen Teknologi Agency (GovTech) meddelte, at alle offentlige ansatte fra 25 juli ville være i stand til at bruge kun har tilladelse til USB-lagring drev. En pulje af bærbare lagerenheder, der taget højde for regeringens sikkerhedsmæssige krav, der kunne stilles til rådighed for offentligheden, ansatte på et “arbejde er nødvendigt grundlag”, regeringens CIO office fortalt lokale medier. Det tilføjes, at andre værktøjer såsom filoverførsel enheder også vil blive givet til de offentlige myndigheder.
GovTech sagde: “USB-storage-enheder fortsætter med at være et middel til at indføre malware og exfiltrate data, især da de har potentiale til at være let malplaceret.”
Det sidste træk, kom mere end et år efter, at regeringen sagde, at det ville begrænse adgang til internettet blandt sine 143,000 offentligt ansatte, der giver dem mulighed for at få adgang til kun intranet og arbejdsrelaterede e-mails via deres arbejdsstationer.
Fuld online adgang kan gives via terminaler, der er udpeget, selvom, de offentligt ansatte, der stadig vil have lov at surfe på nettet via deres egen personlige mobile enheder, som ikke har nogen adgang til arbejdsrelaterede e-mail-systemer.
0