Western Australia's generalrevisor har rapportert 553 svakheter i IT-systemer til 59 statlige myndigheter, og sa at hun var “skuffet” bare 50% av dem har nådd referanseindeksen innen informasjonssikkerhet.
I generalrevisorens siste rapport [PDF], Informasjonssystemers revisjonsrapport 2021 – Statlige regjeringsenheter, ble det avslørt at 42% av funnene som ble gjort i år tidligere ble rapportert til de 59 enhetene.
“En måten enheter kan være på vakt mot de raskt skiftende truslene mot informasjonssystemer, er ved å umiddelbart ta opp revisjonsfunn, sier statsrevisor, Caroline Spencer. “Dårlige kontroller av informasjonssikkerhet etterlater enhetssystemer og informasjon sårbare for misbruk og kan påvirke kritiske tjenester som leveres til publikum.”
36 av de 59 enhetene fikk kapasitetsmodenhetsvurderinger og ble bedt om å selv vurdere deres generelle datakontroller.
Mens enhetene forbedret kontrollene sine i fire av seks kategorier – forretningskontinuitet, IT-drift, endringskontroll og fysisk sikkerhet – og forble konstant i styringen av IT-risiko, mens de gikk bakover i infosec-kategorien .
“Vi fortsetter å finne et stort antall svakheter som kan kompromittere konfidensialiteten, integriteten og tilgjengeligheten til informasjonssystemer. Informasjonssikkerhet er fortsatt vårt største bekymringsområde,” sa den 13. rapporten fra Riksrevisjonen (OAG).
Vurderinger for generelle datakontrollfunn i hver kontrollkategori
Bilde: OAG
De 36 vurderingene så OAG-renteenhetens modenhetsnivå i de seks kategoriene, ved hjelp av et 0-5-klassifiseringssystem. Nivå 3, “definert”, er minimumsstandarden som enhetene må oppfylle. 50% av enhetene befant seg rangert på nivå 3 eller høyere for infosec; 62% for forretningskontinuitet; 78% for styring av IT-risiko; 82% for IT-drift; 85% for endringskontroll, og fysisk sikkerhet var den høyeste poengsummen, med 91% av enhetene som nådde nivå 3 eller høyere.
“Antall enheter som oppfylte vår referanseindeks for informasjonssikkerhet, falt fra 57% i 2018 -19 til 50% i 2019-20. Vi fortsetter å se liten forbedring i dette området de siste 13 årene, “heter det i rapporten.
Vanlige svakheter som ble funnet, inkluderte utilstrekkelig informasjonssikkerhetspolicy, ineffektiv styring av tekniske sårbarheter, utilstrekkelig tilgangskontroll, administratorrettigheter som ikke klarte seg bra, mangel på datatapskontroll, upassende nettverkssegregering, uautorisert enhetstilkobling, svak databasesikkerhetskontroll og dårlig skysikkerhetskontroll .
Noen av anbefalingene som er gitt inkluderer å be statlige infosec-ledere sørge for at oppdatering og sårbarhetsadministrasjon, applikasjonsherding og kontroll, og sterke passord/passord og flerfaktorautentisering er på plass, samt implementere restriksjoner for administratorkontoer, adskille nettverk og forhindre uautoriserte enheter , og sikker skyinfrastruktur, databaser, e-post og lagring.
Riksrevisjonen ønsker også at cybersikkerhetsovervåking, inntrengingsdeteksjon og beskyttelse mot skadelig programvare prioriteres.
Vanlige svakheter som ble funnet under overskriften for forretningskontinuitet, var mangel på planlegging av forretningskontinuitet, ingen prosedyrer for testing av sikkerhetskopier, utilstrekkelige planer for IT-katastrofegjenoppretting og mangel på testing av katastrofegjenopprettingsplan.
Styring av IT-risikoproblemer inkluderte utilstrekkelige prosesser for å identifisere, vurdere og behandle IT-risiko, samt manglende ansvar. For endringskontroll inkluderte vanlige problemer mangel på formaliserte endringsledelsesprosesser innen enheter, og når de eksisterer, ble de ikke fulgt.
Vanlige svakheter i IT-drift, sa Riksrevisjonen, inkluderte en manglende gjennomgå policyer og prosedyrer, utilstrekkelig avslutningsprosesser for personalet, ineffektiv IT-kapitalforvaltning, mangel på ytelsesstyring av leverandører og en generell utilstrekkelighet i overvåking av hendelser.
Til slutt inkluderte problemer med fysisk sikkerhet på tvers av enhetene ubegrenset tilgang til serverrom, brennbart materiale som ble lagret i serverrom, og mangel på branndempingssystemer på plass. til statens hele regjeringens GovNext-IKT-initiativ, har i mellomtiden tatt det på seg å hjelpe WA-enheter med sikkerhet, og lanserte Project Fortify.
Project Fortify, støttet av Office of Digital Government og Department of Finance, har som mål å bistå statlige enheter med sikkerhetsoperasjoner, Essential 8-overholdelse og eldre systemer risikovurderinger.
“Dette er en flott mulighet for byråer med begrensede ressurser til å akselerere deres cybersikkerhetsmodenhet og forbedre den offentlige sektorens motstandsdyktighet overfor cybertrusler,” sa WA-sjef for informasjonssikkerhet ved Office of Digital Government Peter Bouhlas.
Finansiering av initiativet kommer ved hjelp av et Digital Innovation Fund, som ble opprettet under WA Government Microsoft Licensing Agreement Data # 3 hentet i 2019.
MER FRA RETTELSEN
328 svakheter funnet av WA-revisor i 50 lokale myndighetssystemer WA-revisor finner kontrollsvakheter i fire statlige IT-applikasjoner WA-revisor avslører “angående” sikkerhetspraksis innen statens registersystem 12 år senere, finner revisjon WA-regjeringsenheter fremdeles ikke får infosek. of-government cybersecurity centreKinesisk APT-gruppe Naikon målrettet regjeringen i Western Australia
Beslektede emner:
Australia Security TV Data Management CXO Data Centers 