Noll
Western Australia ‘ s riksrevisor än en gång har krävt ut de statliga myndigheterna för att inte ta risker på allvar, trots att många är “lätt tillgängliga”, särskilt när det gäller lösenord hygien.
I informationssystem Revisionsberättelse till 2018 [PDF], riksrevisionen framhöll också att riskerna för offentliga organ är helt enkelt inte riktigt förstått, att notera att de “absolut inte vara på ett effektivt sätt”.
“Över en fjärdedel av de aktiverade nätverk konton som vi tittade på hade svaga lösenord vid tidpunkten för revisionen,” rapporten slutsatsen staterna.
“I ett antal fall, dessa konton används för att få tillgång till kritiska byrån system och information via fjärråtkomst utan några ytterligare kontroller.
“I allmänhet, myndigheter saknade tekniska kontroller för att upprätthålla ett bra lösenord över nätverk, applikationer och databaser, och inte ha vägledning om god praxis för hantering av lösenord.”
17 organens lösenord och privilegierade konton processer och kontroller har sökt som en del av den årliga revisionen, bearbetning cirka 520,000 aktiverade och inaktiverade konton. Av dessa, 234,000 var aktiverat och 26 procent hade svaga lösenord.
Sonden finns Password123 användes för att säkra 1 464 rekryterade aktiva konton, med en total 6,546 konton med lika svaga lösenord för att komma åt regeringens IT-system.
Riksrevisionen gjorde beröm inhyrd personal för att försöka upp deras nivå av lösenord hygien genom att göra dem längre, men i många fall är detta helt enkelt ingår att lägga till fler på varandra följande tal till slutet av det befintliga lösenordet.
Minst 12 av de 17 provtas organ inte har multi-faktor autentisering som ett extra lager av säkerhet för viktiga system som är tillgängligt via fjärråtkomst.
När det gäller att förstå konsekvenserna av databaser i det vilda, i rapporten sägs att en myndighet som undersöktes hade gamla, offline versioner av AD-databas som lagras på servern och som är allmänt tillgängliga för användare och IT-stöd entreprenörer.
En annan byrå misstag delat med sig av sin hela ANNONSEN databas med en tredje part.
Riksrevisorn har gjort en handfull rekommendationer som ett resultat av utredningen, bland annat att Avdelningen av Premier och Skåp ger vägledning för myndigheter på sätt att bättre hantera identiteter och tillgång inklusive hantering av lösenord och multi-faktor autentisering i slutet av året.
Dessutom bett att alla myndigheter har tillräcklig säkerhet för åtgärder som kräver en lifecycle management strategi för olika typer av konton och behörigheter, genomföra privilegierade identity and access management bästa praxis, överväga att ge personalen ett säkert sätt lagra lösenord och tekniska lösningar för att minska antalet lösenord som användarna behöver, använd multi-faktor autentisering för fjärråtkomst, förhindra/svartlista användning av gemensamma svaga lösenord; skräddarsy krav som lösenord för varje typ av konto, baserad på risk -, miljö -, och andra förebyggande kontroller på plats, och upprätthålla synlighet på syfte, äganderätt och användning av tjänster, system och databas-konton.
Som en del av sin årliga sond, Revisor Allmänt ser också till viktiga program på en handfull byråer, med Department of Health patientjournalen Systemet, Institutionen för Gruvor, Industri Förordning och Säkerhet är Hyresrätt Obligationer Management System, Byrån av Statens Inkomster Första Hem Ägare Bevilja Online-System, Western Australian valkommissionen Val Management System WA; och Keystart Bostäder Systemet Trust Keysmart System konstrueras i år.
Alla fem ansökningar hade svagheter, de flesta relaterade till dålig information om säkerhet och policies och rutiner, den riksrevisor som har rapporterats.
Av de 49 resultat över fem ansökningar, nio klassas som betydande, 29 som måttlig, och 11 markerades som liten. De väsentliga frågorna var mestadels runt säkerhet för känslig information, med några som faller under de policyer och procedurer som banner.
Där patientjournalen System är berörda, Revisor Allmänna slutsatsen att oklara beslutsprocesser och brist på digitalisering strategin har påverkat dess genomförande.
Institutionen för Hälsa är ännu inte avgöra om alla medicinska journaler kommer att vara digitaliserat hela Western Australia, eftersom de är fortfarande i färd med att utveckla en digital strategi. Revisorn Allmänna sade att som ett resultat, beslut om dess utformning och utplacering sker på enskilda sjukhus utan hänsyn till hela Hälso-och behov.
Hyresrätt Obligationer Management System kallades ut för att ha ineffektiva säkerhetskontroller, till exempel svaga lösenord och tredje part konton inte hanteras på rätt sätt, trots att många externa parter som har total tillgång till kundinformation.
Den Första husägaren Bevilja Online-systemet på samma sätt hade en svag säkerhet. I 2016-17, nästan 15,630 ansökningar registreras och hanteras av systemet, men fann revisionen oskyddade personliga data, till exempel bankkontonummer information-på Kontoret av Statens Inkomster test miljö.
Medan revisionen inte hitta alla förekomster av olämpliga tillgång eller missbruk av Valet Management System, sade konfidentiell information är i riskzonen på grund av otillräcklig lösenord kontroller, okrypterade databaser, och minimal att spåra eller övervaka ändringar som gjorts i data.
Den Keystart Bostäder Systemet Förtroende var omgivna av den riksrevisor som behöver ett konto rengöra, med 32-system konton hittade som inte hade använts för upp till åtta år.
RELATERADE TÄCKNING
WA: s grand plan för att befria regeringen i DET ägande
Med pengar tajt tack till slutet av gruv-boom, slutmålet för regeringen i Western Australia GovNext-ICT-initiativ är att befria staten från alla IT-infrastruktur ägande.
WA parlamentariska kommittén säker regeringen CIO kommer att fixa DET nuvarande problem
En WA parlamentariska kommittén är oroad för den framtida statliga hälso DET kontrakt, som pekar på att inrättandet av en regering som chief information officer som en möjlighet att förhindra att historien upprepar sig.
WA Revisor Allmänhet rekommenderar inter-agency samarbete för att motverka skadlig kod
Den statliga revisionsorganet har gjort sex rekommendationer för att förebygga hotet från skadlig kod efter att ha undersökt sex West Australiska myndigheter.
25% av medarbetarna använder samma lösenord för varje konto (TechRepublic)
Av dessa är 81% säger att de inte lösenord skydda sin telefon eller dator alls, enligt en OpenVPN rapport. Här är hur att förbättra de anställdas it-utbildning.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0