Nul
(Afbeelding: Audit Office van NSW)
Voor degenen met interesse in informatiebeveiliging, die graag een ontnuchterende lezen om de rand te nemen uit de vakantie te vrolijken, het Verslag over de Interne controle en Governance 2017 uit de Audit Office van New South Wales past het wetsvoorstel.
Uitgebracht vóór de Kerst, het rapport details van de mate waarin de NSW overheid worstelt om te voldoen aan de basisprincipes van veiligheid, dat is zelfs meer aanzien gegeven de agentschappen omgaan met persoonlijke burger gegevens.
“De meeste instanties niet voldoende controleren of beperken bevoorrechte toegang tot hun systemen en een aantal niet afdwingen wachtwoord controles,” aldus het rapport.
Het rekenhof vond 68 procent van de agentschappen niet ‘adequaat te beheren” wie heeft toegang tot de systemen.
“We ontdekten dat een agentschap had 37 privileged user accounts, met inbegrip van 33 die zijn slapende,” het bureau zei. “Het agentschap had geen formeel proces voor het maken, wijzigen of deactiveren bevoorrechte gebruikers.”
Tijdens het jaar, het bureau zei dat de NSW overheidsinstellingen ze keek naar ervaren 8,503 cyber-aanvallen, een significante absolute stijging op de 1,558 aanvallen gemeld vorig jaar en 603 aanvallen van een jaar eerder. Er zijn echter een paar kanttekeningen: Twee instanties gemeld 7000-tal aanvallen tussen hen; en er is geen gemeenschappelijke definitie van “cyberaanval” binnen de agentschappen.
“De omvang van de cyber bedreiging van de veiligheid is onbekend, omdat de agentschappen van het definiëren van een ‘cyberaanval’ anders,” aldus het rapport.
“Er zijn verschillende benaderingen om welke instanties registreren en rapporteren, en instanties verschillende definities voor een ‘cyber-aanvallen’, het aantal en de aard van cyber-aanvallen is niet bekend.”
Voor het oplossen van het probleem met de definitie, NSW zou er goed aan doen volg het voorbeeld van de federale overheid, die in het proces van het maken van de Cyber Security Lexicon. Australië hoeft niet tegenstrijdig cyber definities verplaatst van de agentschappen, naar een niveau waar de staten potentieel hebben hun eigen unieke definities en Canberra heeft nog een ander één.
Onderdelen van het rapport te maken voor een echt hoofd krabben momenten: 5 procent van de agentschappen “denk niet dat cyber-aanvallen vormen een risico bij all”; een agentschap niet regelmatig een update van de anti-virus handtekeningen; en een bureau laatste tests van een disaster recovery plan vier jaar geleden.
(Afbeelding: Audit Office van NSW)
Het rapport vond 13 procent van de bureaus niet over een volledige inventaris van IT-systemen, hetzelfde percentage niet hebben een disaster recovery plan in de plaats voor alle kritische systemen, en 11 procent is mislukt “adequaat identificeren van” kritische systemen en zakelijke functies.
Ook vond 14 procent van de instanties die gebruik maken van shared services, het niet hebben van een service level agreement (SLA). Van degenen die wel een SLA, 84 procent niet uiteen te straffen voor achterblijvende prestaties, 60 procent niet in detail wat bepaalt de dienstverlener moet handhaven, 20 procent niet prestatiedoelstellingen.
“HET controle tekortkomingen waren de meest voorkomende bron van interne controle problemen in onze 2016-17 audits van NSW-agentschappen,” NSW Commissaris-Generaal Margaret Crawford zei in een verklaring.
Voor een land dat wordt duwen digitale initiatieven met gusto, moet worden over dat een aantal bureaus zijn niet te passeren, het equivalent van een beveiliging 101 cursus.
En de alarmen moeten echt ring wanneer u rekening houdt met die van de autoriteiten in staat zijn om toegang te krijgen tot Australië de metagegevens van retentie systemen, vier vallen onder het rekenhof de opdracht: NSW Politie; NSW Crime Commission; NSW Onafhankelijke Commissie Tegen Corruptie; en NSW Integriteit van de Politie van de Commissie.
Ten slotte, in het geval dat het idee van de federale regering doen het beter op de veiligheid 101 bezit neemt, op het moment van schrijven is de website van de Australische Commissie voor Veiligheid en Kwaliteit in de Gezondheidszorg is niet toegankelijk zonder het maken van een security vrijstelling in uw browser dankzij een SSL-certificaat is verlopen op 22 December.
(Afbeelding: Audit Office van NSW)
Verwante Dekking
NSW regering lanceert DigitalNSW platform en gegevens marktplaats
DigitalNSW fungeert als opname-instrument voor de overheid en hun projecten, terwijl D Marketplace kunnen de burgers downloaden van meerdere datasets op één site.
NSW overheid begint digitale rijbewijs op proef in Dubbo
De Nieuw-Zuid-Wales regering is van plan om een follow-up van de digitale rijbewijs proef met een goedkope uitrol volgend jaar.
Service zuid-holland wil delen technologie voor grensoverschrijdende dienstverlening
Service zuid-holland waarnemend CEO vertelde ZDNet dat de organisatie moet de opening van de technologie om de rest van het land te helpen in de dienstverlening aan burgers.
NSW Politie targeting toont de ethische gevaren van geheime algoritmen
Zodra het onbekende en onverklaarbaar proces beslist u bent een potentiële toekomstige strafrechtelijke, gewoon het dragen van een ‘verkeerde’ kleren en zitten in de ‘verkeerde’ treinstel kan aantrekken politie aandacht.
Zuid-holland Ministerie van Justitie transformeert back-end met ServiceNow
Het staat het ministerie van justitie, heeft zich tot ServiceNow voor het transformeren van de IT-en back-office service management als onderdeel van de sprong naar de digitale dienstverlening.
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters
0