De Auditor-Generaal van West-Australië heeft opnieuw een beroep op overheden om hun informatie beveiliging praktijken, met een nieuw rapport te vinden, in sommige gevallen, een afwezigheid helemaal van infosec beleid.
In de jaarlijkse Information Systems Audit Rapport [PDF] – auditeur-Generaal Caroline Spencer details van de resultaten van de 2018 sonde van overheidsinstanties, op zoek om te bepalen of controls “effectieve ondersteuning van de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen”.
De sonde, die betrekking infosec, de continuïteit van HET beheer van it-risico ‘ s, operaties, change control en fysieke beveiliging, gevonden 547 problemen over 47 overheid entiteiten. Met vijf entiteiten het uitbesteden van hun vermogen beoordelingen en drie als gevolg van het verdwijnen van machines-van-regering wijzigt, wordt het rapport spreekt tot 39 entiteiten.
Met een schaal variërend van nul tot vijf, de auditeur-Generaal verwacht entiteiten te raken ten minste drie, die ze ziet dat gedocumenteerd en gecommuniceerd processen die verplicht zijn, en het bezit van gestandaardiseerde procedures, die niet noodzakelijk een verfijnde, maar zijn de formalisering van de bestaande praktijk.
Het vergelijken van de resultaten van vorig jaar, blijkt uit het verslag van een daling in het percentage van de entiteiten beoordeeld op drie of meer in vier van de zes categorieën. Slechts vier entiteiten — het Ministerie van de Premier en het Kabinet, Racen en Inzet van Western Australia, Western Australian Land Informatie Gezag, en Curtin University — zijn geslaagd voor alle zes de categorieën consequent voor drie jaar of meer. De sonde is in zijn elfde jaar.
Slechts 47% van de entiteiten voldaan aan de Auditor-Generaal van de benchmark voor een effectief beheer van de informatiebeveiliging in 2018. Dit is een 3% daling van 2017.
“Het is duidelijk uit de basic zwakke punten in de beveiliging hebben we vastgesteld dat veel entiteiten het ontbreken van een aantal belangrijke security controles die nodig zijn voor de beveiliging van systemen en informatie,” zegt het rapport. “De trend over de laatste 11 jaar toont weinig verbetering in entiteiten’ controls voor het beheren van de beveiliging van informatie.”
Naast infosec beleid niet bestaand, verouderd is of niet goedgekeurd, de zwakke punten van de sonde gevonden weerklonk veel van die gevonden in het verleden, met inbegrip eenvoudig te raden wachtwoorden voor netwerken, applicaties en databases, zoals het gebruik van “Wachtwoord” of “Password1”.
Bij één entiteit, de wachtwoorden zijn opgeslagen in platte tekst op het gedeelde netwerk schijf en opgenomen database en server-account aanmeldgegevens voor een “kritische systeem”.
Daarnaast is het rapport gewezen op een gebrek aan processen toestaan upskill medewerkers in de beveiliging van informatie; geen infosec awareness programma ‘ s voor het personeel; er was exemplaren van entiteiten die niet de herziening zeer bevoorrechte applicatie, database en netwerk-gebruiker-accounts; en een gebrek aan processen te identificeren en verhelpen van kwetsbaarheden in de beveiliging in de IT-infrastructuur.
Het delen van een case study van een naamloze overheid entiteit, de auditeur-Generaal zei dat het gevonden is dat de entiteit de netwerk-en IT-systemen zijn kwetsbaar door het ontbreken van anti-malware en intrusion detection/prevention controles, en de ontbrekende security patches.
De entiteit had ook niet gepatched WannaCry kwetsbaarheden voor meer dan vijf maanden, en niet over een proces om een patch te installeren Linux-omgevingen met ontbrekende patches dateert van 2013.
Veel entiteiten bleken geen extra controles, zoals een multi-factor authenticatie om toegang te krijgen tot kritische systemen in de cloud, inclusief ” payroll en die met financiële informatie. Sommige entiteiten niet nodig is multi-factor authenticatie voor toegang op afstand.
Waar het beheer van de IT-risico ‘s betreft, heeft zwakke kanten van de auditeur-Generaal gevonden inbegrepen: Risk management beleid in de ontwerp-of niet ontwikkeld; onvoldoende processen voor het identificeren, beoordelen, en de behandeling en daaraan verbonden risico’ s; risico-registers niet onderhouden, voor continue controle en beperking van de gevolgen van de gesignaleerde risico ‘ s.
“Entiteiten nodig om ervoor te zorgen dat DEZE risico’ s worden geïdentificeerd, beoordeeld en behandeld en binnen een passend tijdschema en dat deze praktijken een belangrijk onderdeel van de bedrijfsvoering en het college van toezicht,” Spencer zei.
De audit van IT-activiteiten onthuld zwakke punten zoals: IT-strategieën niet op zijn plaats; geen logging van toegang van de gebruiker en de activiteit; geen beoordelingen van security logs voor kritieke systemen; toegang nog steeds toegekend aan voormalig personeel; een gebrek aan beleid en procedures, en een zwak bestuur over DEZE verrichtingen; en zelfs de onmogelijkheid om toegang te krijgen tot HET materiaal.
Fysieke veiligheid onderzoek vond ook veel entiteiten niet-monitor personeel en aannemers) toegang tot de computerlokalen, noch heeft zij zicht hebben over hun communicatie kamer waar de back-ups en de temperatuur van de controles betrokken.
Toepassingen in de spotlight
De eerste helft van het rapport zijn de resultaten van de Commissaris-Generaal van de audit van belangrijke zakelijke toepassingen op vier entiteiten uit de publieke sector. De toepassingen onder de microscoop waren: De Publieke Sector Commissie Werving Advertentie Beheer Systeem (RAMMEN), Horizon Power Advanced Metering Infrastructure, het Kantoor van de Staat Inkomsten van de Gepensioneerde Korting Regeling en-Uitwisseling, en het Nieuwe Land-Register onder de zorg van de West-Australische Land Informatie Gezag.
Uit het onderzoek bleek dat alle vier waren zwakke punten, met de meest voorkomende in verband met slechte contract management, beleid, procedures en beveiliging van informatie.
RAMMEN werd gevonden te hebben opgenomen software componenten die worden niet meer ondersteund door softwareleveranciers, met één component bezitten bekende beveiligingsproblemen. Disaster recovery had ook niet getest aangezien 2015.
Horizon Macht werd gevraagd door de auditeur-Generaal te bewegen handmatige processen naar een digitale oplossing, review en implementatie van de juiste netwerk en de database security controls, review en implementatie van de juiste user access management praktijken en de verbetering van de vulnerability management proces te zijn toepassingen van derden.
Staat van Inkomsten werd gevonden te hebben onvoldoende toegang van de gebruiker controles en beoordelingen, met de sonde blootleggen dat een groot aantal gebruikers hebben toegang tot onbeschermde gevoelige informatie.
Ook waren er 10-database accounts met een eenvoudig te raden wachtwoorden, en 70 accounts waren niet veranderd, hun wachtwoorden voor meer dan 12 maanden — voor zeven rekeningen, het had al meer dan een jaar.
Ten slotte, het Nieuwe kadaster bezeten zwakke punten, zoals credit card informatie op risico van blootstelling.
“Landgate in de nakoming van haar eigen ICT-Beleid voor Acceptabel Gebruik, die verbiedt dat creditcard gegevens worden opgeslagen met behulp van onveilige methoden, zoals e-mail. We vinden vormen van betaling met een credit card informatie opgeslagen in het lange termijn back-ups zonder de juiste maskeren van de details,” aldus het verslag,
Als een resultaat, de West-Australische Land Informatie Gezag werd gevraagd om een evaluatie van haar beleid, procedures en controles om ervoor te zorgen dat ze worden uitgevoerd, effectief in juli 2019.
MEER VAN WEST-AUSTRALIË
Western Australian auditeur-Generaal stelt gaten in GovNext business caseWA verschuivingen regering CIO positie van Premier ‘ s departmentWA de grand plan om zich te ontdoen van de regering van HET ownershipWA pompen AU$35m in digitale governmentWA Ministerie van Financiën is verplaatst naar Microsoft Azure
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters