Die Rechnungsprüferin von Westaustralien hat 59 staatlichen Stellen 553 IT-Systemschwächen gemeldet und sagte, sie sei “enttäuscht”, nur 50 % von ihnen haben die Benchmark in der Informationssicherheit erreicht.
Im neuesten Bericht des Auditor-General [PDF], Information Systems Audit Report 2021 – State Government Entities, wurde enthüllt, dass 42 % der in diesem Jahr gemachten Feststellungen zuvor an die 59 Unternehmen gemeldet wurden.
“One Unternehmen können gegenüber den sich schnell ändernden Bedrohungen für Informationssysteme wachsam bleiben, indem sie Prüfungsergebnisse umgehend angehen”, sagte Caroline Spencer, Generalauditorin des Staates. “Unzureichende Kontrollen der Informationssicherheit machen Systeme und Informationen von Unternehmen anfällig für Missbrauch und können sich auf kritische Dienste auswirken, die der Öffentlichkeit bereitgestellt werden.”
36 der 59 Unternehmen erhielten eine Bewertung der Fähigkeitsreife und wurden gebeten, ihre allgemeinen Computerkontrollen selbst zu bewerten.
Während Unternehmen ihre Kontrollen in vier von sechs Kategorien verbesserten – Geschäftskontinuität, IT-Betrieb, Änderungskontrolle und physische Sicherheit – und beim Management von IT-Risiken konstant blieben, während sie in der Kategorie „Infosec“ zurückgingen .
„Wir finden weiterhin eine Vielzahl von Schwachstellen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen beeinträchtigen könnten. Die Informationssicherheit bleibt unser größtes Anliegen“, heißt es im 13. Bericht des Office of the Auditor-General (OAG).< /p>
Bewertungen für allgemeine Computerkontrollbefunde in jeder Kontrollkategorie
Bild: OAG
Bei den 36 Bewertungen wurde der Reifegrad der OAG-Entitäten in den sechs Kategorien bewertet, wobei ein 0-5-Rating-System verwendet wurde. Level 3, „definiert“, ist der Mindeststandard, den Unternehmen erfüllen müssen. 50 % der Unternehmen wurden für Infosec auf Stufe 3 oder höher bewertet; 62 % für Geschäftskontinuität; 78% für das Management von IT-Risiken; 82 % für den IT-Betrieb; 85 % für die Änderungskontrolle, und die physische Sicherheit wurde am höchsten bewertet, wobei 91 % der Unternehmen Stufe 3 oder höher erreichten.
“Die Anzahl der Unternehmen, die unseren Benchmark für Informationssicherheit erfüllten, sank von 57 % im Jahr 2018 -19 bis 50 % im Zeitraum 2019-20. Wir sehen in diesem Bereich in den letzten 13 Jahren weiterhin nur geringe Verbesserungen”, heißt es in dem Bericht.
Zu den häufig festgestellten Schwachstellen gehörten unzureichende Informationssicherheitsrichtlinien, ineffektives Management technischer Schwachstellen, unzureichende Zugriffskontrollen, nicht gut verwaltete Administratorrechte, fehlende Kontrollen zur Verhinderung von Datenverlust, unangemessene Netzwerktrennung, nicht autorisierte Gerätekonnektivität, schwache Datenbanksicherheitskontrollen und schlechte Cloud-Sicherheitskontrollen .
Zu den Empfehlungen gehören die Aufforderung an staatliche infosec-Führungskräfte, Patching und Schwachstellenmanagement, Anwendungshärtung und -kontrolle, starke Passphrasen/Passwörter und Multi-Faktor-Authentifizierung sicherzustellen sowie Einschränkungen für Administratorkonten zu implementieren, Netzwerke zu trennen und nicht autorisierte Geräte zu verhindern und sichere Cloud-Infrastruktur, Datenbanken, E-Mail und Speicher.
Die OAG möchte auch, dass die Überwachung der Cybersicherheit, die Erkennung von Eindringlingen und der Schutz vor Malware Priorität haben.
Häufige Schwachstellen, die unter der Überschrift “Business Continuity” festgestellt wurden, waren ein Mangel an Business-Continuity-Planung, keine Backup-Testverfahren, unangemessene IT-Disaster-Recovery-Pläne und fehlende Tests für Disaster-Recovery-Plan.
Das Management von IT-Risiken umfasste unangemessene Prozesse zur Identifizierung, Bewertung und Behandlung von IT-Risiken sowie mangelnde Verantwortlichkeit. Bei der Änderungskontrolle gehörten zu den häufigen Problemen das Fehlen formalisierter Änderungsmanagementprozesse innerhalb der Unternehmen, und wenn sie vorhanden waren, wurden sie nicht befolgt.
Zu den allgemeinen Schwächen des IT-Betriebs gehörte laut OAG das Versäumnis, Richtlinien und Verfahren zu überprüfen, unangemessene Kündigungsprozesse von Mitarbeitern, ineffektives IT-Asset-Management, fehlendes Lieferantenleistungsmanagement und eine insgesamt unzureichende Überwachung von Ereignissen.
Zu den Problemen mit der physischen Sicherheit in den untersuchten Einheiten gehörten schließlich der uneingeschränkte Zugang zu Serverräumen, die Lagerung brennbarer Materialien in den Serverräumen und das Fehlen von Feuerlöschsystemen.
Data#3, ein Anbieter von IT an die gesamtstaatliche GovNext-ICT-Initiative des Staates, hat es sich inzwischen zur Aufgabe gemacht, WA-Einheiten bei der Sicherheit zu unterstützen, und startete Project Fortify.
Project Fortify, das vom Office of Digital Government und dem Department of Finance unterstützt wird, zielt darauf ab, staatliche Stellen bei Sicherheitsoperationen, der Einhaltung von Essential 8 und der Risikobewertung von Altsystemen zu unterstützen.
“Dies ist eine großartige Gelegenheit für Behörden mit begrenzten Ressourcen, ihre Cybersicherheitsreife zu beschleunigen und die Widerstandsfähigkeit des öffentlichen Sektors gegenüber Cyberbedrohungen zu verbessern”, sagte Peter Bouhlas, Chief Information Security Officer von WA im Office of Digital Government.
p>
Die Finanzierung der Initiative erfolgt über einen Digital Innovation Fund, der im Rahmen des Microsoft Licensing Agreement Data#3 der Regierung von Washington geschaffen wurde, das 2019 aufgenommen wurde.
MEHR VON DER OAG
328 Schwachstellen gefunden von WA Auditor-General in 50 lokalen RegierungssystemenWA Auditor-General findet Kontrollschwächen in vier bundesstaatlichen IT-AnwendungenWA Auditor enthüllt „betreffende“ Sicherheitspraktiken innerhalb des staatlichen Registrierungssystems Cybersicherheitszentrum der RegierungDie chinesische APT-Gruppe Naikon hat die Regierung von Westaustralien ins Visier genommen
Verwandte Themen:
Australien Security TV Data Management CXO Data Centers 