Nul
I det vestlige Australien rigsrevisionen har igen kaldt ud statslige myndigheder for ikke at tage DEN risiko alvorligt, på trods af mange at være “let adresserbare”, især når det kommer til password hygiejne.
I Information Systems Audit Rapport 2018 [PDF], rigsrevisionen fremhævet, at de risici, offentlige enheder er simpelthen ikke korrekt forstået, at bemærke, at de er “bestemt ikke bliver forvaltes effektivt”.
“Over en fjerdedel af de aktiverede netværk-konti, vi kiggede på, havde svage passwords på tidspunktet for revision,” rapportens konklusion hedder.
“I en række tilfælde, disse konti bruges til at få adgang til kritiske agentur systemer og informationer via fjernadgang uden yderligere kontrol.
“Generelt, kontorer manglede teknisk kontrol for at håndhæve de gode passwords på tværs af netværk, applikationer og databaser, og ikke har en vejledning om god praksis for styring af adgangskoder.”
17 agenturer,’ adgangskoder og privilegeret konti, processer og kontroller, blev undersøgt som en del af den årlige revision, behandling ca 520,000 aktiveres og deaktiveres konti. Af dem, 234,000 blev aktiveret, og 26 procent havde svage passwords.
Sonden fandt Password123 blev anvendt til at sikre, 1,464 aktive konti, og med en samlet 6,546 konti bruger lige så svage adgangskoder for at få adgang til offentlige IT-systemer.
Rigsrevisionen har ros vikarer for at forsøge at deres niveau af password hygiejne ved at gøre dem længere, men i mange tilfælde er det blot medtaget for tilføjelse af flere på hinanden følgende numre til slutningen af den eksisterende adgangskode.
Mindst 12 af 17 udtages organer ikke har multi-faktor-autentificering som et ekstra lag af sikkerhed for centrale systemer, der er tilgængelige via fjernadgang, konstateredes det.
Når det kommer til at forstå konsekvenserne af databaser i naturen, siger rapporten, at en agenturet undersøgt, havde gamle offline versioner af ANNONCEN database, der er gemt på serveren og bredt tilgængelig for IT-support af brugere og entreprenører.
Et andet organ, som uforvarende har delt hele sin ANNONCE database med en tredje part.
Rigsrevisionen har foretaget en håndfuld anbefalinger som følge af undersøgelse, herunder, at den Afdeling af Premier og Kabinet i at yde rådgivning til myndigheder, på måder til bedre at håndtere identiteter og adgang, herunder password management og multi-faktor-autentificering ved udgangen af året.
Derudover har bedt om, at alle instanser har en tilstrækkelig sikkerhed politikker på plads, der kræver en lifecycle management-tilgang til forskellige typer af konti og få adgang til niveauer; gennemføre privilegeret identity og access management best practices, overveje at give ansatte med en sikker måde at lagre adgangskoder og tekniske løsninger til at reducere antallet af adgangskoder for brugere, der har brug for; brug multi-faktor-autentificering for remote access, forhindre/blacklist brug af fælles svage passwords; skræddersy password krav for hver type af konto, der er baseret på den risiko, miljø, og andre formildende kontrol i stedet for; og bevare synligheden på de formål, ejerskab og brug af service, system og database-konti.
Som en del af sin årlige sonde, rigsrevisionen også ser på vigtige applikationer i en håndfuld af agenturer, med Department of Health ‘s Patient journal-System; Department of Mines, Industri lovgivning og Sikkerhed er Lejemålet Obligationer Management System; Kontoret for Statens Indtægter er Første Hjem Ejer giver Online System; den Vestlige Australske valgkommission’ s Management System WA; og Keystart boligbebyggelse Tillid er Keysmart System under lup i år.
Alle fem programmer havde kontrol med svagheder, de fleste relateret til dårlig it-sikkerhed og politikker og procedurer, Revisor Generelt rapporteret.
Af de 49 resultater på tværs af de fem ansøgninger, ni vurderet som væsentlig, 29 som moderat, og 11 var markeret som mindre. De væsentlige bekymringer var for det meste omkring sikkerheden af følsomme oplysninger, med et par, der falder ind under de politikker og procedurer, banner.
Hvor Patient journal-System er bekymret, rigsrevisionen konkluderede, at uklare beslutningsprocesser og en manglende digitalisering strategi har påvirket gennemførelsen.
Departementet for Sundhed er endnu ikke til at afgøre, om alle medicinske journaler vil være digitaliseret hele det Vestlige Australien, som de er stadig i processen med at udvikle en digital strategi. Rigsrevisionen sagde, at som et resultat, beslutninger om dens design og implementering er foretaget på de enkelte hospitaler uden hensyn til hele Sundhedsmæssige behov.
Lejemålet Obligationer Management System blev kaldt ud for at være ineffektiv sikkerhedskontrol, som svage passwords og tredje-parts-konti, ikke bliver forvaltet ordentligt, på trods af mange eksterne parter, der har fuld adgang til kundens oplysninger.
Den Første Home-Ejer giver Online system på samme måde havde svage sikkerhed. I 2016-17, næsten 15,630 ansøgninger om tilskud registreres og administreres af systemet, men revisionen viste, ubeskyttede personlige data-såsom bank konto oplysninger, — i Kontoret for Statens Indtægter i test-miljø.
Mens revisionen har ikke fundet nogen tilfælde af utilsigtet adgang og misbrug af Valg Management System, der sagde, at fortrolige oplysninger er i fare på grund af utilstrækkelig password kontrol, ukrypteret databaser, og minimal sporing og overvågning af ændringer af data.
Den Keystart boligbebyggelse Tillid var markeret af rigsrevisionen, som har behov for en konto, rense, med 32-system konti fandt, at der ikke havde været anvendt i op til otte år.
RELATEREDE DÆKNING
WA ‘ s store plan om at slippe regering af DET ejerskab
Med penge stramme tak til slutningen af minedrift boom, det endelige mål for regeringen i det Vestlige Australien GovNext-IKT-initiativ, er at slippe den medlemsstat af ethvert IT-infrastruktur ejerskab.
WA parlamentariske udvalg tillid til regeringen CIO vil løse de nuværende IT-problemer
En WA parlamentariske udvalg er bekymret for fremtiden for de offentlige sundheds-IT-kontrakter, der peger på etableringen af en regering, chief information officer som en mulighed for at forhindre, at historien gentager sig.
WA rigsrevisionen anbefaler, at et tværfagligt samarbejde for at bekæmpe malware
Statens rigsrevisionen har foretaget seks anbefalinger til at imødegå truslen fra malware, efter at have undersøgt seks West Australske regering agenturer.
25% af de ansatte bruger den samme adgangskode til alle konti (TechRepublic)
Af dem, 81% siger, at de ikke password beskytte deres telefon eller computer overhovedet, i henhold til en OpenVPN rapport. Her er hvordan man kan forbedre medarbejdernes cyber-uddannelse.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre
0