0
Många missar har avslöjats över hur Singapores regering och departement och myndigheter hanterade sina IT-system som innehåller icke godkända administrativa förändringar och obehörigt tillträde för tredje part.
Dessa förbiseenden lyftes fram av Revisor-General ‘ s Office (SEDAN) i sin årliga revision av offentliga räkenskaper för räkenskapsåret, som slutade 31 Mars 2017. Bedömningen omfattar åtta områden, inklusive upphandling och betalning, finansiella kontroller, kontroller och förvaltning av avtal. Alla 16 departement, 12 lagstadgade styrelser, och fem statligt ägda företag var bland de granskade.
SEDAN sa att det har identifierat brister i DEN kontroll över flera enheter i den offentliga sektorn, som var liknande de som lyfts fram i tidigare revisioner.
“Brist på uppmärksamhet till dessa områden som observerats i vissa enheter är av intresse med tanke på den offentliga sektorn är starkt beroende av IT-system och data för regeringens verksamhet, och den snabbt föränderliga IT-säkerhetshot,” det konstaterade i sin rapport som släpptes på tisdagen.
Kontoret tillade att DET var utbrett över Singapores offentliga sektorn att hantera finansiella transaktioner, ta kontakt med medborgare och företag, samt att öka arbetets produktivitet. Dessa myndigheter också kunna hantera stora volymer av data som innehåller personuppgifter och andra känsliga uppgifter.
Mitt i ett landskap där it hot har ökat, SEDAN underströk behovet av Singapores offentliga sektorn för att vidta effektiva åtgärder för att skydda sina IT-system och data.
I sin rapport konstaterade flera missar i DET kontroller enligt prövas av den Centrala pensionsfonden Styrelsen (CPFB), Singapore Corporation av Rehabiliterande Företag (BETYG), National Parker Styrelsen (NParks) och Ministeriet för Sociala och Familj Utveckling (MSF).
Den CPFB, till exempel, inte för att övervaka sin IT-säkerhet system och otillåtna ändringar till sina databaser och system. Under testet kontrollerar systemet loggar över tre månader, SEDAN fastställt att 88.7 procent av de ändringar gjorda av CPFB administratörer inte godkänts i förväg. Alert-rapporter som genereras för granskning av IT-säkerhet övervakningssystem också var ofullständiga.
Dessutom, 14 användarkonton var inte tas bort omedelbart efter att anställda hade lämnat styrelsen. Av dessa sex konton har använts efter det att personalen är sista arbetsdagen och vilka av dem som öppnat konton kunde inte fastställas.
Liknande bortfaller hittades på NParks, vilket inte ta bort rättigheter för 104 avstängd användare konton efter att de anställda hade lämnat organisationer, en del så långt tillbaka som tio år sedan.
Över på läkare utan GRÄNSER, som var övervakas under 11 månader, 595 fall av tillgång med sin IT-leverantör team befanns vara olämpligt och bör ha krävt ytterligare utredning. I själva verket, 560 instanser som är involverade i IT-leverantören använder ett privilegierat system användarkonto–som inte hör till säljaren–att få tillgång till LÄKARE utan gränsers system.
“Dessa kränkningar av IT-kontroller som skulle kunna äventyra sekretess och integritet av data i systemen, vilket resulterar i läckage av information eller korruption av data som används för beräkning av bonusar eller bidrag enligt de system [behandlas av läkare utan GRÄNSER],” SEDAN sade.
Singapore presenterar drastiska drag som sätter regeringen i pre-internet-eran
Singapore regeringen blockerar tillgång till internet på alla arbetsstationer som används av anställda inom den offentliga sektorn från och med Maj 2017, i ett drag som kastar upp kritiska frågor om sin smarta nation och e-förvaltning.
I sitt svar, Singapore finansdepartementet sade regeringens övergripande system för hantering av offentliga medel är fortfarande god”, men det erkände att det fanns utrymme för förbättringar som identifierats av SEDAN betänkandet, bland annat i IT-kontroller.
“Samtidigt som vi erkänner att det är inte möjligt att helt eliminera enskilda mänskliga bortfaller, fel eller misjudgement, public service är att ta en samordnad insats för att åtgärda de frågor som identifierats… Cheferna för de myndigheter som är ansvariga har granskat samtliga fall, när detta är befogat, att lämpliga åtgärder har vidtagits eller kommer att vidtas mot de ansvariga ministeriet sade.
I sin granskning förra året, SEDAN knackade Ministeriet i Lag för att inte i tillräcklig utsträckning övervaka och granska loggarna innehåller aktiviteter som genomförs av externa IT-leverantörer, särskilt de som involverar IPTOBis servrar. Dessa system används av lag ministeriet att hantera ärenden som hänför sig till dess obestånd, offentliga förvaltare, och relaterade reglerande funktioner. En ordentlig översyn av verksamheten logga som skulle ha kunnat ministeriet för att upptäcka om någon obehörig tillgång eller ändra SEDAN och sa att 44 användarkonton tillfälligt förutsatt att IT-leverantörer inte hade tagits bort efter dessa var inte längre behövs.
Regeringen förbjuder användning av icke godkända USB-enheter
SEDAN rapporten följde en vecka efter Singapore regeringen lade fram sitt förslag till it-säkerhet bill, som beskriver ny lagstiftning som skulle kräva att operatörer av lokal infrastruktur för viktig information att vidta åtgärder för att skydda sina system och snabbt rapportera hot och incidenter. Släppte av Ministeriet för Kommunikation och Information (MCI) och Cyber Security Agency (CSA), att den föreslagna nya lagstiftningen skulle också underlätta informationsdelning över kritiska sektorer och kräver utvalda tjänsteleverantörer och individer att vara licensierad.
Förra veckan, Regeringen Technology Agency (GovTech) meddelade att alla statligt anställda från 25 juli skulle kunna använd endast godkända USB-lagringsenheter. En pool av bärbara lagringsenheter som tillgodoses regeringens krav på säkerhet skulle göras tillgängliga för offentligt anställda på en “working behöver grundval”, regeringens CIO office berättade lokala medier. Den tillade att andra verktyg som till exempel file transfer enheter också ges till myndigheter.
GovTech sade: “USB-lagringsenheter fortsätta att vara ett medel för att införa malware och exfiltrate data, speciellt eftersom de har potential att vara lätt tappas bort.”
Den senaste drag var mer än ett år efter att regeringen sagt att det skulle begränsa tillgång till internet bland sina 143,000 offentliga tjänstemän, vilket möjliggör för dem att bara få tillgång till intranät och e-post via sina arbetsstationer.
Full tillgång till nätet skulle endast vara tillgänglig via utsedda terminaler, men de statligt anställda fortfarande skulle vara tillåtet att surfa på webben via sina egna personliga mobila enheter, som skulle ha tillgång till e-post system.
0