Nul
West-Australië de auditeur-Generaal heeft opnieuw riep de overheid voor het niet nemen van HET risico ‘ s serieus, ondanks de vele “gemakkelijk te bereiken”, met name als het gaat om het wachtwoord van de hygiëne.
In de Information Systems Audit Rapport 2018 [PDF], de auditeur-Generaal naar voren dat de risico ‘ s voor de overheid entiteiten zijn gewoon niet goed begrepen, en merkte op dat ze “zeker niet efficiënt wordt beheerd”.
“Meer dan een kwart van de actieve network-accounts die we bekeken hadden zwakke wachtwoorden op het moment van de audit” van het rapport in de conclusie staten.
“In een aantal gevallen, deze accounts worden gebruikt om toegang te krijgen tot kritische agentschap systemen en informatie via externe toegang, zonder enige extra controles.
“In het algemeen, agentschappen ontbrak technische controles af te dwingen goede wachtwoorden over netwerken, applicaties en databases, en er was ook geen begeleiding over goede praktijken voor het beheer van de wachtwoorden.”
17 agentschappen’ wachtwoorden en accounts processen en controles werden onderzocht als onderdeel van de jaarlijkse controle, het verwerken van ongeveer 520,000 ingeschakeld en uitgeschakeld accounts. Van degenen, 234,000 werden ingeschakeld en 26 procent had een zwakke wachtwoorden.
De sonde gevonden Password123 werd gebruikt voor het beveiligen van 1,464 actieve accounts, met een totaal 6,546 rekeningen met behulp even zwakke wachtwoorden om toegang te krijgen tot de overheid van de IT-systemen.
De auditeur-Generaal heeft lof uitzendkrachten voor de poging tot het niveau van hun wachtwoord hygiëne te maken door ze langer, maar in veel gevallen is dit gewoon opgenomen met het toevoegen van meer opeenvolgende nummers aan het einde van het bestaande wachtwoord.
Ten minste 12 van de 17 bemonsterd bureaus geen multi-factor authenticatie als een extra laag van beveiliging voor de belangrijkste systemen die toegankelijk zijn via externe toegang, het rapport te vinden.
Als het gaat om inzicht in de gevolgen van databases in het wild, aldus het rapport dat de ene instantie onderzocht had oud, offline versies van de AD in de database wordt opgeslagen op de server en op grote schaal beschikbaar voor HET ondersteunen van gebruikers en aannemers.
Een ander agentschap per ongeluk gedeelde haar hele AD-database met een derde partij.
De Commissaris-Generaal een handvol aanbevelingen als een resultaat van het onderzoek, waaronder dat van de Afdeling van de Premier en het Kabinet leiding geven aan de instanties op betere manieren om het beheer van identiteiten en de toegang tot het beheer van de wachtwoorden en multi-factor authenticatie voor het einde van het jaar.
Bovendien gevraagd dat alle organisaties een adequate beveiliging is een beleid dat vereist een lifecycle management aanpak voor verschillende soorten accounts en toegang niveaus; het implementeren van bevoorrechte identity en access management best practices; overweeg dan het personeel te voorzien van een veilige manier van het opslaan van wachtwoorden en technische oplossingen voor het verminderen van het aantal wachtwoorden die gebruikers nodig hebben; gebruikmaken van multi-factor authenticatie voor toegang op afstand; voorkomen/zwarte lijst voor het gebruik van de gemeenschappelijke zwakke wachtwoorden; kleermaker wachtwoord eisen voor elk type account, gebaseerd op het risico, milieu, en andere preventieve maatregelen in de plaats; en houden zicht op het doel, eigendom en gebruik van de dienst, het systeem en de database-accounts.
Als onderdeel van de jaarlijkse sonde, de auditeur-Generaal ziet er ook in de belangrijkste toepassingen op een handvol bureaus, met het Ministerie van Gezondheid van de Patiënt Medische registratie Systeem; het Ministerie van Mijnen, de Industrie Regelgeving en de Veiligheid van de Huurovereenkomst Obligaties Management Systeem; het Kantoor van de overheidsinkomsten de Eerste Eigenaar van het Huis Grant Online Systeem; de West-Australische Electorale Commissie Verkiezing Management Systeem WA; en de Keystart Huisvesting Regeling Trust Keysmart Systeem onder de microscoop dit jaar.
Alle vijf toepassingen controle had over de zwakke punten, met de meeste in verband met de slechte beveiliging van informatie, en het beleid en de procedures, de auditeur-Generaal gemeld.
Van de 49 bevindingen over de vijf toepassingen, negen beoordeeld als significant, 29 als matig, en 11 werden gemarkeerd met de kleine. De belangrijke knelpunten waren meestal rond de beveiliging van gevoelige informatie, met een paar vallen onder het beleid en de procedures van de banner.
Waar de Patiënt Medische registratie Systeem is betrokken, de Commissaris-Generaal concludeerde dat onduidelijke besluitvorming en een gebrek aan digitalisering strategie een invloed heeft gehad op de uitvoering ervan.
Het Ministerie van Volksgezondheid, is nog beslissen of alle medische medische dossiers worden gedigitaliseerd in West-Australië, ze zijn nog steeds in het proces van het ontwikkelen van een digitale strategie. De auditeur-Generaal zei dat als gevolg daarvan de beslissingen met betrekking tot het ontwerp en de implementatie worden gedaan aan individuele ziekenhuizen zonder rekening te houden met het geheel van de behoeften.
De Huur Obligaties Management Systeem werd opgeroepen voor het feit dat niet effectief security controls, zoals een zwakke wachtwoorden en andere rekeningen niet goed wordt beheerd, ondanks de vele externe partijen die een totale toegang tot de informatie voor de klant.
De Eerste Eigenaar van het Huis Grant Online systeem ook had zwakke beveiliging. In 2016-17, bijna 15,630 subsidieaanvragen werden geregistreerd en beheerd wordt door het systeem, maar de audit vond onbeveiligde persoonlijke gegevens zoals bankrekening informatie — in het Kantoor van de Staat van Ontvangsten van de test omgeving.
Tijdens de audit werden geen gevallen van ongeoorloofde toegang tot of misbruik van de Verkiezing Management Systeem, het zei vertrouwelijke informatie is in gevaar door onvoldoende wachtwoord controles, niet-gecodeerde databases, en minimale tracking of monitoring van wijzigingen in de gegevens.
De Keystart Huisvesting Regeling Vertrouwen werd gemarkeerd door de auditeur-Generaal zo nodig een account te reinigen, met 32 systeem accounts gevonden die nog niet zijn gebruikt voor maximaal acht jaar.
VERWANTE DEKKING
WA ‘ s grote plan om zich te ontdoen van de regering van HET eigendom
Met geld is krap dankzij het einde van de mijnbouw boom, het uiteindelijke doel van de regering van West-Australië GovNext-ICT-initiatief is om zich te ontdoen van de staat van de IT-infrastructuur eigendom.
WA parlementaire commissie vertrouwen in de overheid CIO zal vast de huidige IT-problemen
Een WA parlementaire commissie is bezorgd voor de toekomst van gezondheid staat IT-contracten, wijzend naar de oprichting van een regering chief information officer als een kans om te voorkomen dat de geschiedenis herhaalt zich.
WA-auditeur-Generaal adviseert de inter-institutionele samenwerking tegen malware
De staat van de Zetel van de auditeur-Generaal heeft zes aanbevelingen om te voorkomen dat de dreiging van malware na onderzoek van de zes West Australische overheid.
25% van de werknemers gebruiken hetzelfde wachtwoord voor elke account (TechRepublic)
Van degenen, 81% zegt dat ze niet met een wachtwoord beveiligen hun telefoon of computer op alle, volgens een OpenVPN-rapport. Hier is het verbeteren van de werknemer cyber onderwijs.
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters
0