Västra Australiens generalrevisor har rapporterat 553 svagheter i IT-system till 59 statliga myndigheter och sagt att hon var “besviken”, bara 50% av dem har uppfyllt riktmärket för informationssäkerhet.
I generaldirektörens senaste rapport [PDF], Informationssystems granskningsrapport 2021 – Statliga myndigheter, avslöjades att 42% av resultaten i år tidigare rapporterades till de 59 enheterna.
“En sätt enheter kan vara vaksamma mot de snabbt föränderliga hoten mot informationssystem är att snabbt ta itu med revisionsresultaten, säger statsrevisor Caroline Spencer. “Dåliga kontroller av informationssäkerhet gör att enhetens system och information är utsatta för missbruk och kan påverka kritiska tjänster som tillhandahålls allmänheten.”
36 av de 59 enheterna fick förmånsbedömningar och ombads att självbedöma sina allmänna datorkontroller.
Medan enheter förbättrade sina kontroller i fyra av sex kategorier – affärskontinuitet, IT-verksamhet, förändringskontroll och fysisk säkerhet – och förblev konstant i hanteringen av IT-risker, medan de gick bakåt i infosec-kategorin .
“Vi fortsätter att hitta ett stort antal svagheter som kan äventyra informationssystemens konfidentialitet, integritet och tillgänglighet. Informationssäkerhet är fortfarande vårt största bekymmer”, säger den 13: e rapporten från Riksrevisionen (OAG).
Betyg för allmänna datakontrollresultat i varje kontrollkategori
Bild: OAG
I de 36 bedömningarna sågs OAG-räntenheternas mognadsnivå för de sex kategorierna med ett 0-5-klassificeringssystem. Nivå 3, “definierad”, är den miniminorm som enheterna måste uppfylla. 50% av enheterna befann sig på nivå 3 eller högre för infosec; 62% för affärskontinuitet; 78% för hantering av IT-risker; 82% för IT-verksamhet; 85% för förändringskontroll och fysisk säkerhet var den högsta poängen, med 91% av enheterna som nådde nivå 3 eller högre.
“Antalet enheter som uppfyllde vårt riktmärke för informationssäkerhet minskade från 57% 2018 -19 till 50% under 2019-20. Vi fortsätter att se liten förbättring i detta utrymme under de senaste 13 åren, “heter det i rapporten.
Vanliga svagheter som hittades inkluderade otillräcklig informationssäkerhetspolicy, ineffektiv hantering av tekniska sårbarheter, otillräcklig åtkomstkontroll, administratörsbehörigheter hanterades inte bra, brist på kontroller av förhindrande av dataförlust, olämplig nätverkssegregering, obehörig enhetsanslutning, svag databas säkerhetskontroll och dålig moln säkerhetskontroll .
Några av de rekommendationer som gjorts inkluderar att begära statliga infosec-chefer för att säkerställa patchning och sårbarhetshantering, applikationshärdning och kontroll, och starka lösenfraser/lösenord och multifaktorautentisering är på plats, samt implementera administratörskontobegränsningar, segregera nätverk och förhindra obehöriga enheter och säker molninfrastruktur, databaser, e-post och lagring.
Riksrevisionen vill också att cybersäkerhetsövervakning, upptäckt av intrång och skydd mot skadlig programvara ska prioriteras.
Vanliga svagheter som hittades under rubriken för företagskontinuitet var brist på planering av verksamhetskontinuitet, inga säkerhetskopieringsprocedurer, otillräckliga IT-katastrofåterställningsplaner och brist på test för katastrofåterställning.
Hantering av IT-riskfrågor inkluderade otillräckliga processer för att identifiera, bedöma och behandla IT-risker, samt brist på ansvar. För förändringskontroll inkluderade vanliga problem brist på formaliserade förändringshanteringsprocesser inom enheter, och när de existerar följdes de inte.
IT-drift vanliga svagheter, sade Riksrevisionen, inkluderade ett misslyckande att granska policyer och rutiner, otillräckliga personalavslutningsprocesser, ineffektiv IT-tillgångshantering, brist på leverantörsprestationshantering och en övergripande brist på övervakning av händelser.
Slutligen inkluderade problem med fysisk säkerhet mellan enheterna obegränsad tillgång till serverrum, brännbart material som lagrades i serverrum och brist på brandbekämpningssystem på plats.
Data # 3, en leverantör av IT till statens hela regeringens GovNext-ICT-initiativ, har under tiden tagit på sig att hjälpa WA-enheter med säkerhet och startar Project Fortify.
Project Fortify, med stöd av Office of Digital Government och Department of Finance, syftar till att hjälpa statliga enheter med säkerhetsåtgärder, Essential 8-efterlevnad och äldre systemriskbedömningar.
“Det här är ett utmärkt tillfälle för byråer med begränsade resurser att påskynda sin cybersäkerhetsmognad och förbättra den offentliga sektorns motståndskraft mot cyberhot,” sa WA: s informationssäkerhetschef vid Office of Digital Government Peter Bouhlas.
Finansiering av initiativet kommer genom en digital innovationsfond, som skapades under WA-regeringens Microsofts licensavtal Data # 3 som hämtades 2019.
MER FRÅN RIKTLINJEN
328 svagheter som hittats av WA-generalrevisor i 50 kommunala system WA-revisorn finner kontrollsvagheter i fyra statliga IT-applikationer WA-revisorn avslöjar “angående” säkerhetspraxis inom statens registersystem 12 år senare, finner revisionen att regeringsenheter i WA fortfarande inte får infosec-regeringen att etablera hel- statens cybersäkerhetscenter Kinesiska APT-gruppen Naikon riktade sig mot västra Australiens regering
Relaterade ämnen:
Australien Security TV Data Management CXO Data Centers 