De auditor-generaal van West-Australië heeft 553 zwakke punten in IT-systemen gemeld aan 59 overheidsinstanties en zei dat ze “teleurgesteld” was, slechts 50% van hen voldeed aan de benchmark op het gebied van informatiebeveiliging.
In het laatste rapport van de auditor-generaal [PDF], Information Systems Audit Report 2021 – State Government Entities, werd onthuld dat 42% van de bevindingen die dit jaar werden gedaan eerder waren gerapporteerd aan de 59 entiteiten.
“Eén De manier waarop entiteiten waakzaam kunnen blijven tegen de snel veranderende bedreigingen voor informatiesystemen, is door auditbevindingen onmiddellijk aan te pakken”, aldus auditeur-generaal Caroline Spencer. “Slechte informatiebeveiligingscontroles maken entiteitssystemen en informatie kwetsbaar voor misbruik en kunnen van invloed zijn op kritieke diensten die aan het publiek worden geleverd.”
36 van de 59 entiteiten kregen een beoordeling van de volwassenheid van hun bekwaamheid en werden gevraagd om hun algemene computercontroles zelf te beoordelen.
Terwijl entiteiten hun controles in vier van de zes categorieën verbeterden — bedrijfscontinuïteit, IT-operaties, wijzigingscontrole en fysieke beveiliging — en constant bleven in het beheer van IT-risico's, terwijl ze achteruit gingen in de categorie infosec .
“We blijven een groot aantal zwakke punten vinden die de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen in gevaar kunnen brengen. Informatiebeveiliging blijft ons grootste punt van zorg”, aldus het 13e rapport van het Office of the Auditor-General (OAG).<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<> /p>
Beoordelingen voor algemene computercontrolebevindingen in elke controlecategorie
Afbeelding: OAG
Bij de 36 beoordelingen werd het volwassenheidsniveau van de entiteiten door OAG beoordeeld in de zes categorieën, met behulp van een 0-5-beoordelingssysteem. Niveau 3, “gedefinieerd”, is de minimumnorm waaraan entiteiten moeten voldoen. 50% van de entiteiten werd beoordeeld op niveau 3 of hoger voor infosec; 62% voor bedrijfscontinuïteit; 78% voor de beheersing van IT-risico's; 82% voor IT-activiteiten; 85% voor wijzigingsbeheer en fysieke beveiliging was de hoogste score, waarbij 91% van de entiteiten niveau 3 of hoger bereikte.
“Het aantal entiteiten dat voldeed aan onze benchmark voor informatiebeveiliging daalde van 57% in 2018 -19 tot 50% in 2019-20. We zien nog steeds weinig verbetering op dit gebied in de afgelopen 13 jaar”, aldus het rapport.
Veelvoorkomende zwakke punten die werden gevonden, waren onder meer een ontoereikend informatiebeveiligingsbeleid, ineffectief beheer van technische kwetsbaarheden, ontoereikende toegangscontroles, beheerdersrechten die niet goed werden beheerd, gebrek aan controles ter voorkoming van gegevensverlies, ongepaste netwerkscheiding, ongeautoriseerde apparaatconnectiviteit, zwakke databasebeveiligingscontroles en slechte cloudbeveiligingscontroles .
Enkele van de aanbevelingen die zijn gedaan, zijn onder meer het verzoeken om uitvoerende managers van staatsinfosec te zorgen voor patching en kwetsbaarheidsbeheer, applicatieverharding en -controle, en sterke wachtwoorden/wachtwoorden en multi-factor authenticatie, evenals het implementeren van beperkingen voor beheerdersaccounts, scheiding van netwerken en het voorkomen van ongeautoriseerde apparaten , en veilige cloudinfrastructuur, databases, e-mail en opslag.
De OAG wil ook dat cyberbeveiligingsbewaking, inbraakdetectie en bescherming tegen malware prioriteit krijgen.
Veelvoorkomende zwakke punten die werden gevonden onder de kop bedrijfscontinuïteit waren een gebrek aan planning voor bedrijfscontinuïteit, geen procedures voor het testen van back-ups, ontoereikende IT-noodherstelplannen en een gebrek aan tests voor rampenherstelplannen.
Beheer van problemen met IT-risico's omvatte ontoereikende processen om IT-risico's te identificeren, beoordelen en behandelen, evenals een gebrek aan verantwoordelijkheid. Wat wijzigingsbeheer betreft, waren veelvoorkomende problemen een gebrek aan geformaliseerde processen voor wijzigingsbeheer binnen entiteiten, en als ze wel bestonden, werden ze niet gevolgd.
Veel voorkomende tekortkomingen van de IT-operatie, zei de OAG, waren onder meer het niet herziening van beleid en procedures, ontoereikende processen voor ontslag van personeel, ineffectief IT-activabeheer, een gebrek aan prestatiebeheer van leveranciers en een algehele ontoereikendheid in het bewaken van gebeurtenissen.
Tot slot waren er onder de onderzochte entiteiten problemen met de fysieke beveiliging, zoals onbeperkte toegang tot serverruimten, de opslag van brandbare materialen in serverruimten en het ontbreken van brandblussystemen.
Data#3, een leverancier van IT aan het GovNext-ICT-initiatief van de staat, heeft het intussen op zich genomen om WA-entiteiten te helpen met beveiliging door Project Fortify te lanceren.
Project Fortify, ondersteund door het Office of Digital Government en het Department of Finance, heeft tot doel overheidsinstanties te helpen bij beveiligingsoperaties, Essential 8-compliance en risicobeoordelingen van legacy-systemen.
“Dit is een geweldige kans voor instanties met beperkte middelen om hun cyberbeveiligingsrijpheid te versnellen en de weerbaarheid van de publieke sector tegen cyberdreigingen te verbeteren”, aldus Peter Bouhlas, Chief Information Security Officer van WA bij het Office of Digital Government.
p>
De financiering voor het initiatief komt via een Digital Innovation Fund, dat is opgericht onder de Microsoft Licensing Agreement Data#3 van de WA-overheid, opgepikt in 2019.
MEER VAN DE OAG
328 zwakke punten gevonden door WA auditeur-generaal in 50 lokale overheidssystemenWA auditeur-generaal vindt controlegebreken in vier staats-IT-toepassingenWA-auditor onthult 'betreffende' beveiligingspraktijken binnen rijksregistersysteem12 jaar later, audit vindt dat WA-overheidsinstanties nog steeds geen infosecWA-regering krijgen om volledige cyberbeveiligingscentrum van de overheid Chinese APT-groep Naikon richtte zich op de regering van West-Australië
gerelateerde onderwerpen:
Australië Security TV Data Management CXO-datacenters 