Riksrevisorn i Västra Australien har återigen uppmanat regeringen enheter upp sin informationssäkerhet, med en ny rapport att hitta, i vissa fall, en frånvaro helt och hållet av infosec politik.
I den årliga Information Systems Audit Rapport [PDF] riksrevisor Caroline Spencer visar resultaten av 2018 sond av statliga enheter, ser att avgöra om kontroll “på ett effektivt sätt stödja sekretess, integritet och tillgänglighet av information system”.
Sonden, som täcker infosec, kontinuitet i verksamheten, hantering av IT-risker, IT-verksamhet, ändra kontroll-och fysisk säkerhet, hittade 547 frågor i 47 delstater enheter. Med fem enheter outsourcing deras förmåga bedömningar, och tre försvinner på grund av att maskiner-av-regeringen ändringar i betänkandet talar för att 39 personer.
Med en skala noll till fem, Revisor Allmänhet förväntar sig att statliga myndigheter att träffa minst en tre, som ser dem som har dokumenterats och kommunicerats processer som är på uppdrag, och som har standardiserade förfaranden, som inte nödvändigtvis är sofistikerad men är formaliseringen av befintlig praxis.
Att jämföra resultaten av förra årets rapport visar på en nedgång i andelen enheter med betyget tre eller högre i fyra av sex kategorier. Endast fyra enheter-Institutionen för Premier och Skåp, Racing och Vadslagning Western Australia, Western Australian Mark Information Myndighet, och Curtin University — har klarat alla sex kategorier konsekvent i tre år eller mer. Sonden är i sitt elfte år.
Endast 47% av enheterna uppfyllde Revisor Allmänt riktmärke för att effektivt hantera informationssäkerhet i 2018. Detta innebär en 3% nedgång från och med 2017.
“Det är tydligt från den grundläggande säkerheten brister vi har identifierat att många enheter saknar vissa viktiga säkerhetsåtgärder som behövs för att skydda system och information,” säger rapporten. “Trenden över de senaste 11 åren visar en liten förbättring i enheternas kontroller för att hantera informationssäkerhet.”
Förutom att infosec policies som antingen inte finns, för att vara föråldrad, eller som inte är godkända, svagheter sonden finns ekade många av de som finns i det förflutna, inklusive lätt att gissa lösenord för nätverk, applikationer och databaser, såsom användning av “Lösenord” eller “Password1”.
På en enhet, lösenord hittades lagras i klartext på delad nätverksenhet och ingår databas och server-konto meriter för en “kritisk system”.
I rapporten lyfter fram en bristande processer för att vidareutbilda personalen i informationssäkerhet. nr infosec medvetenhet program för personal; det fanns fall av enheter som inte granska mycket bra program, databaser och nätverk användarkonton, och en brist på metoder för att identifiera och åtgärda säkerhetsproblem inom IT-infrastruktur.
Dela en fallstudie av en icke namngiven statlig enhet, Revisor Allmänna sade att det konstaterats att företagets nätverk och IT-system var utsatta på grund av brist på anti-malware och intrångsdetektering/förebyggande kontroller, och saknar säkerhetsuppdateringar.
Enheten hade heller inte lagas WannaCry sårbarheter i över fem månader, och inte har en process för att lappa Linux-miljöer med saknade patchar som går tillbaka till 2013.
Många enheter har funnit att inte kräva ytterligare kontroller såsom multi-faktor autentisering för att få tillgång till kritiska system i molnet, inklusive löner och de som innehåller finansiell information. Vissa enheter som inte kräver multi-faktor autentisering för fjärråtkomst.
Om hantering av IT-risker, svagheter riksrevisor hittat ingår: Risk management policy i utkast eller inte utvecklas, otillräcklig processer för att identifiera, bedöma och behandla DET och relaterade risker och risk register som upprätthålls inte, för löpande uppföljning och begränsning av identifierade risker.
“Enheter måste se till att risker identifieras, bedöms och behandlas inom rimlig tid och att dessa metoder blir en central del av verksamheten och verkställande tillsyn,” Spencer sa.
Granskning av IT-verksamheten presenterade svagheter som: IT-strategier inte på plats, ingen loggning av användaråtkomst och aktivitet; inga recensioner av säkerhet loggar för kritiska system, tillgång fortfarande beviljas före detta personal, brist på riktlinjer och rutiner, och svag styrning över IT-verksamhet, och även oförmågan att få tillgång till IT-utrustning.
Fysisk säkerhet undersökningar fann också många enheter inte övervaka personal och entreprenörer att få tillgång till datasalar, inte heller de har insyn över deras kommunikation rummet där säkerhetskopior och temperatur kontroller som var berörda.
Program i rampljuset
Den första halvan av den rapport redogör för resultaten av den riksrevisor s granskning av viktiga affärsprogram på fyra enheter i den offentliga sektorn. De program under lupp var: Den Offentliga Sektorn Kommissionens Rekrytering Annons Management System (RAMS), Horizon Power ‘ s Advanced Metering Infrastructure, det Kontoret av Statens Inkomster är Pensionär rabattsystem och Utbyte, och det Nya fastighetsregistret under vård av Västra Australiens Mark Information Myndighet.
Undersökningen visade att alla fyra hade svagheter, med de vanligaste som gäller dålig förvaltning av avtal, riktlinjer, förfaranden och informationssäkerhet.
RAMS befanns ha innehållit programvara komponenter som inte längre stöds av programvaruleverantörer, med en komponent som har kända säkerhetsproblem. Återställning hade inte testats eftersom 2015.
Horizon Power blev tillfrågad av riksrevisorn att flytta manuella processer till en digital lösning, granskning och att vidta lämpliga nätverk och databas säkerhet kontroller, granskning och att vidta lämpliga användare tillgång förvaltning praxis och öka sin sårbarhet process för att inkludera tredje part.
Statens Inkomster har otillräcklig användaren åtkomst till kontroller och recensioner med sonden avslöja att ett stort antal användare har tillgång till oskyddade känslig information.
På samma sätt fanns det 10 databas står med lätt att gissa lösenord och 70-konton hade inte ändrat sitt lösenord för över 12 månader-för sju konton, det hade varit över ett år.
Slutligen, den Nya fastighetsregistret besatt svagheter såsom kreditkortsuppgifter vid risk för exponering.
“Landgate är i strid med sin egen IKT-Policy för Godtagbar Användning som förbjuds kreditkortsuppgifter lagras med hjälp av osäkra metoder, såsom e-post. Vi hittade betalning former som innehåller kredit-kort information som lagras på lång sikt säkerhetskopior utan lämpliga skydd av information,” säger rapporten,
Som ett resultat, Western Australian Mark Information Myndighet uppmanades att se över sina access-policy, rutiner och kontroller för att säkerställa att de genomförs på ett effektivt sätt av juli 2019.
MER FRÅN VÄSTRA AUSTRALIEN
Western Australian riksrevisor exponerar hål i GovNext företag caseWA skift regeringen CIO ställning till Premier departmentWA grand plan för att befria regeringen i DET ownershipWA pumpar AU$35 till digitala governmentWA Institutionen för Ekonomi flyttar till Microsoft Azure
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter