0
Talrijke vervalt zijn aan het licht gebracht over hoe Singapore ministeries en agentschappen in geslaagd hun IT-systemen, die zijn niet-goedgekeurde administratieve wijzigingen en toegang van derden.
Deze vergissingen werden gemarkeerd door de Auditor-General ‘ s Office (AGO) in haar jaarlijkse audit van de overheid de rekeningen voor het boekjaar eindigend op 31 Maart 2017. De beoordeling bedekt acht gebieden, waaronder de inkoop en betaling, de financiële controle, controles, en contract management. Alle 16 ministeries, 12 wettelijke boards, en vijf door de overheid gecontroleerde bedrijven werden onder hen gecontroleerd.
De GELEDEN zei dat het geconstateerde tekortkomingen in de controles over verschillende entiteiten uit de publieke sector, een aantal van die vergelijkbaar zijn met die gemarkeerd in eerdere audits.
“Het gebrek aan aandacht voor deze gebieden waargenomen in sommige entiteiten is van belang in het licht van de publieke sector is de grote afhankelijkheid van IT-systemen en data voor de overheid operaties, en de snel ontwikkelende IT-bedreigingen van de veiligheid,” het stelde in haar rapport uitgebracht dinsdag.
Het kantoor toegevoegd dat HET op grote schaal gebruikt werd in Singapore de publieke sector voor het beheren van financiële transacties aangaan met burgers en bedrijven, alsmede het verbeteren van de productiviteit. Deze overheid instanties ook het beheren van grote hoeveelheden gegevens met persoonlijke en andere vertrouwelijke informatie.
Temidden van een landschap waar cybersecurity bedreigingen waren het verhogen van de GELEDEN onderstreepte de noodzaak van Singapore ‘ s in de publieke sector om effectieve maatregelen te nemen ter bescherming van hun IT-systemen en data.
In haar rapport, merkte op verschillende vervalt in HET regelt onder het toepassingsgebied van de Central Provident Fund Raad van bestuur (CPFB), Singapore Corporation van Revalidatie Ondernemingen (SCORE), de Nationale Parken van Bestuur (NParks), en het Ministerie van Sociale en Ontwikkeling van het Gezin (MSF).
De CPFB, bijvoorbeeld, niet monitoren van de IT security systemen en onbevoegde wijzigingen aan databases en systemen. Tijdens de test zijn de controles van de systeem logs van meer dan drie maanden, de GELEDEN bepaald dat 88.7 procent van de veranderingen gemaakt door een CPFB beheerders waren niet vooraf zijn goedgekeurd. Alert rapporten gegenereerd voor de review met een IT-security monitoring systeem ook waren onvolledig.
Bovendien, 14-gebruiker-accounts niet zijn verwijderd, onmiddellijk nadat medewerkers hadden de raad van bestuur verlaten. Van deze zes accounts werden gebruikt nadat het personeel de laatste werkdag en de identiteit van degenen die toegang tot de jaarrekening kan niet worden vastgesteld.
Soortgelijke vervalt werden gevonden op NParks, die niet te verwijderen toegangsrechten van 104 geblokkeerde gebruiker accounts na afloop van de medewerkers had de organisaties, zo ver terug als een decennium geleden.
Meer dan bij AZG, die werd gevolgd in de loop van 11 maanden, 595 exemplaren van de toegang van haar IT-leverancier team bleken ongeschikt en moet nodig verder onderzoek. In feite, 560 instanties betrokken: de IT-leverancier gebruik van een bevoorrechte gebruikersaccount–die niet behoren tot de verkoper–om toegang te krijgen tot de MSF-systemen.
“Deze schendingen van DEZE controles zou afbreuk doen aan de vertrouwelijkheid en de integriteit van de gegevens in de systemen, wat resulteert in lekkage van informatie of beschadiging van gegevens gebruikt voor de berekening van de premies of subsidies in het kader van de regelingen [bewerkt door AZG],” de GELEDEN zei.
Singapore onthult drastische stap die zet de overheid in het pre-internet tijdperk
Singapore overheid is het blokkeren van toegang tot internet op alle werkstations die gebruikt worden door werknemers in de publieke sector van Mei 2017, in een beweging die gooit kritische vragen over de slimme, land en e-government diensten.
In haar antwoord, Singapore Ministerie van Financiën, zei dat de regering “totale systeem van het beheer van de publieke middelen gezond blijft”, maar het erkend was er ruimte voor verbetering, zoals vastgesteld door de GELEDEN rapport, met inbegrip van in HET toezicht.
“Terwijl we erkennen dat het niet mogelijk is om volledig te elimineren van de mens vervalt, fouten of verkeerde inschatting, de publieke dienstverlening is het nemen van een gezamenlijke inspanning om de problemen aan te pakken vastgesteld… de Hoofden van de instanties die verantwoordelijk zijn beoordeeld elk geval en waar dat gerechtvaardigd is, passende maatregelen zijn genomen of zullen worden genomen tegen degenen die verantwoordelijk zijn,” het ministerie gezegd.
In de audit van vorig jaar, de GELEDEN sloeg het Ministerie van justitie voor het niet goed te monitoren en logboeken waarin activiteiten uitgevoerd door externe IT-leveranciers, in het bijzonder die waarbij IPTOBis servers. Deze systemen werden gebruikt door de wet van het ministerie voor het beheren van zaken met betrekking tot de insolventie, openbare trustee, en de bijbehorende wettelijke functies. Goede beoordelingen van de activiteit log zou hebben ingeschakeld om het ministerie te detecteren eventuele onbevoegde toegang tot of wijziging, wordt de GELEDEN zei, toevoegend dat de 44-gebruiker-accounts tijdelijk verstrekt aan IT-leveranciers niet was verwijderd nadat deze waren niet langer nodig.
De overheid stelt het gebruik van ongeautoriseerde USB-sticks
De GELEDEN rapport volgde een week na de singaporese overheid onthulde haar ontwerp van cybersecurity wetsvoorstel, waarin nieuwe wetgevingen die zou vereisen operators van lokale kritische informatie-infrastructuur maatregelen te nemen ter bescherming van hun systemen en snel melden van bedreigingen en incidenten. Uitgebracht door het Ministerie van Communicatie en Informatie (MCI) en Cyber Security Agency (CSA), de voorgestelde nieuwe wet zou ook het faciliteren van het delen van informatie over kritieke sectoren en vereisen geselecteerde service providers als individuen te worden gelicentieerd.
Vorige week, de Regering Technology Agency (GovTech) kondigde aan dat alle medewerkers van de overheid vanaf 25 juli in staat zou zijn om alleen gebruik maken van erkende USB-opslag apparaten. Een zwembad van draagbare opslagapparaten die catered aan de overheid de veiligheid van eisen zouden worden gesteld aan ambtenaren op een “werkt het nodig is”, de overheid CIO office vertelde de lokale media. Zij heeft daaraan toegevoegd dat andere instrumenten, zoals file transfer apparaten ook zou worden verstrekt aan de overheid.
GovTech zei: “USB-opslag apparaten blijven om een middel te introduceren malware en exfiltrate gegevens, vooral als ze de potentie hebben om gemakkelijk misplaatst.”
De laatste verhuizing kwam meer dan een jaar nadat de regering zei dat het zou de toegang tot internet onder haar nam 143.000 ambtenaren, waardoor ze alleen toegang tot het intranet en e-mail via hun werkstations.
Volledige online toegang zou alleen worden verstrekt via de aangewezen terminals, hoewel, werknemers bij de overheid nog steeds zou worden toegestaan om te surfen op het web via hun eigen persoonlijke mobiele apparaten die geen toegang zou hebben tot zakelijke e-mail systemen.
0