Western Australia's generalrevisor har rapporteret 553 svagheder i it-systemer til 59 statslige regeringsenheder og sagde, at hun var “skuffet”, kun 50% af dem har nået benchmarket inden for informationssikkerhed.
I generalrevisorens seneste rapport [PDF], Informationssystemers revisionsrapport 2021 – Statlige regeringsenheder, blev det afsløret, at 42% af de fund, der blev gjort i år, tidligere blev rapporteret til de 59 enheder.
“Én måde, enheder kan være opmærksomme på hurtigt skiftende trusler mod informationssystemer er ved straks at tage fat på revisionsresultater, ”sagde statsrevisor, Caroline Spencer. “Dårlig informationssikkerhedskontrol efterlader enhedssystemer og oplysninger sårbare over for misbrug og kan påvirke kritiske tjenester, der leveres til offentligheden.”
36 af de 59 enheder fik kapacitetsmodningsvurderinger og blev bedt om selvvurdering af deres generelle computerkontrol.
Mens enheder forbedrede deres kontrol i fire ud af seks kategorier – forretningskontinuitet, it-drift, ændringskontrol og fysisk sikkerhed – og forblev konstant i styringen af it-risici, mens de gik baglæns i infosec-kategorien .
“Vi fortsætter med at finde et stort antal svagheder, der kan kompromittere fortroligheden, integriteten og tilgængeligheden af informationssystemer. Informationssikkerhed er fortsat vores største bekymringsområde,” sagde den 13. rapport fra Rigsrevisionen (OAG).
Bedømmelser for generelle computerkontrolresultater i hver kontrolkategori
Billede: OAG
De 36 vurderinger så OAG-renteenhedernes modenhedsniveau på tværs af de seks kategorier ved hjælp af et 0-5-ratingsystem. Niveau 3, “defineret”, er den minimumstandard, som enheder skal opfylde. 50% af enhederne fandt sig bedømt på niveau 3 eller derover for infosec; 62% for forretningskontinuitet 78% til styring af it-risici 82% til it-drift 85% for ændringskontrol, og fysisk sikkerhed var den højeste score med 91% af enheder, der nåede niveau 3 eller derover.
“Antallet af enheder, der opfyldte vores benchmark for informationssikkerhed, faldt fra 57% i 2018 -19 til 50% i 2019-20. Vi ser fortsat lidt forbedring i dette rum i løbet af de sidste 13 år, “sagde rapporten.
Almindelige svagheder, der blev fundet, omfattede utilstrækkelige informationssikkerhedspolitikker, ineffektiv styring af tekniske sårbarheder, utilstrækkelig adgangskontrol, administratorrettigheder, der ikke blev administreret godt, mangel på datatabskontrol, upassende netværkssegregering, uautoriseret enhedsforbindelse, svag databasesikkerhedskontrol og dårlig sikkerhedskontrol i skyen .
Nogle af de fremsatte henstillinger inkluderer anmodning om statslige infosec-administrerende ledere, der sikrer, at patching og sårbarhedsadministration, applikationshærdning og -kontrol, og stærke adgangssæt/adgangskoder og multifaktorautentificering er på plads, samt implementerer admin-kontobegrænsninger, adskiller netværk og forhindrer uautoriserede enheder , og sikker skyinfrastruktur, databaser, e-mail og opbevaring.
OAG ønsker også, at cybersikkerhedsovervågning, detektion af indtrængen og beskyttelse mod malware prioriteres.
Almindelige svagheder, der findes under overskriften til forretningskontinuitet, var manglende planlægning af forretningskontinuitet, ingen sikkerhedskopieringsprocedurer, utilstrækkelige it-katastrofegendannelsesplaner og mangel på test af katastrofegendannelsesplan.
Styring af it-risikoproblemer omfattede utilstrækkelige processer til at identificere, vurdere og behandle it-risici samt manglende ansvarlighed. Til ændringskontrol inkluderede almindelige problemer mangel på formaliserede ændringer i ledelsesprocesser inden for enheder, og når de findes, blev de ikke fulgt. gennemgå politikker og procedurer, utilstrækkelige medarbejders opsigelsesprocesser, ineffektiv it-aktivstyring, mangel på leverandøradministrationsstyring og en samlet utilstrækkelighed i overvågning af begivenheder.Endelig omfattede problemer med fysisk sikkerhed på tværs af enhederne ubegrænset adgang til serverrum, brændbare materialer, der blev gemt i serverrum, og mangel på brandsikringssystemer på plads.
Data # 3, en leverandør af IT til statens hele regeringens GovNext-ICT-initiativ har i mellemtiden påtaget sig at hjælpe WA-enheder med sikkerhed ved at starte Project Fortify.
Project Fortify, støttet af Office of Digital Government og Department of Finance, har til formål at hjælpe statlige enheder med sikkerhedsoperationer, overholdelse af Essential 8 og risikovurderinger fra ældre systemer.
“Dette er en fantastisk mulighed for bureauer med begrænsede ressourcer til at fremskynde deres cybersikkerhedsmodenhed og forbedre den offentlige sektors modstandsdygtighed over for cybertrusler,” sagde WA-direktør for informationssikkerhed ved Office of Digital Government Peter Bouhlas.
Finansiering til initiativet kommer via en digital innovationsfond, som blev oprettet under WA-regerings Microsoft Licensing Agreement Data # 3 hentet i 2019.
MERE FRA RETTELSEN
328 svagheder fundet af WA-revisor i 50 lokale regeringssystemer WA-revisor finder kontrolsvagheder i fire statslige IT-applikationer WA-revisor afslører 'vedrørende' sikkerhedspraksis inden for statens registersystem 12 år senere finder revision, at WA-regeringsenheder stadig ikke får infosek WA-regering til at etablere hel of-government cybersecurity centre Kinesisk APT-gruppe Naikon målrettet Western Australia-regeringen
Relaterede emner:
Australia Security TV Data Management CXO Data Centers 