Afbeelding: Getty Images/iStockphoto
Uit een rapport van de auditeur-generaal van West-Australië blijkt dat sommige voormalige medewerkers van overheidsinstanties nog steeds toegang hadden tot IT-systemen en -apparatuur, ondanks dat hun dienstverband werd beëindigd.
De bevinding werd gedaan als onderdeel van het Office of the Auditor. Onderzoek van de generaal (OAG) naar controles bij het verlaten van het personeel bij drie overheidsinstanties. De audit [PDF] beoordeelde of het Department of Planning, Lands and Heritage (DPLH), het Department of Finance en het Department of Local Government, Sport and Cultural Industries (DLGSC) het vertrek van personeel effectief en efficiënt beheerden om de veiligheid te minimaliseren, activa en financiële risico's.
De audit had betrekking op de periode van 1 juli 2019 tot 31 december 2020 met een steekproef van 30 medewerkers van DLGSC, 27 van DPLH en 26 van Finance, inclusief consultants en externe contractanten, die in die periode vertrokken.
Hoewel uit het rapport bleek dat alle entiteiten de toegang tot het IT-systeem van het personeel hadden geannuleerd, werd dit niet altijd onmiddellijk gedaan. Volgens het rapport duurde het tussen de twee en 161 dagen om de toegang tot informatiesystemen te deactiveren of in te trekken nadat het personeel de entiteit had verlaten.
Bij Finance zei OAG dat het tussen de zes en 161 dagen duurde om de toegang tot IT-systemen te annuleren na de laatste werkdag. De zaak die 161 dagen in beslag nam, had betrekking op een detacheringsregeling waarbij de ex-werknemer echter voor rekening van de entiteit bleef werken.
Afgezien van dat geval, had Finance gemiddeld zeven dagen nodig om de toegang tot de IT-systemen te annuleren, ondanks het feit dat in het kader voor beveiligingsbeheer werd opgemerkt dat de IT-toegang voor ontslagen medewerkers op de laatste dag van hun dienstverband moet worden uitgeschakeld.
DPLH registreert geen specifieke datums waarop IT-toegang wordt geannuleerd, maar bij het onderzoeken van systeemlogboekinformatie, waar deze beschikbaar was, ontdekte OAG dat late annuleringen varieerden tussen één en 124 dagen nadat de persoon was vertrokken.
Evenzo deed de OAG zei dat DLGSC niet over voldoende informatie beschikte om te bepalen wanneer de toegang tot IT-systemen werd geannuleerd voor alle 30 mensen in zijn controlesteekproef.
“Systeemlogboeken met de data waarop dit gebeurde, werden niet geregistreerd. Bij gebrek aan deze informatie hebben we gecontroleerd of een van de personen toegang had tot de IT-systemen en ontdekten dat 29 geen toegang hadden tot het systeem nadat ze vertrokken”, aldus het rapport. .
“Eén persoon had toegang tot het systeem vier dagen na hun vertrekdatum.”
Uit het rapport bleek ook dat DPLH en DLGSC beide onvoldoende informatie hadden om aan te tonen dat voor 72% van de voormalige medewerkers in de steekproef de toegangspassen voor kantoren werden teruggegeven of gedeactiveerd. OAG zei dat het personeel van DLGSC een vergoeding van AU $ 12 in rekening werd gebracht voor eventuele wijzigingen in de status van passen van de particuliere exploitant die het gebouw beheerde en daarom werd ontmoedigd om het proces uit te voeren.
Alle toegangspassen zijn geannuleerd of gedeactiveerd nadat het personeel Finance had verlaten, zei OAG echter voor vijf van de 26 steekproef dat de annulering van passen niet op tijd was. Voor vier personen zei OAG dat het tussen de zes en 44 dagen duurde. De gedetacheerde persoon had nog steeds fysieke toegang tot het gebouw gedurende de 116 dagen dat hij systeemtoegang had.
Ook werd het proces voor het teruggeven van activa bij de drie entiteiten onder de loep genomen, waarbij OAG ontdekte dat geen enkele een volledig en gemakkelijk toegankelijk overzicht had van alle activa, inclusief IT-apparatuur, die aan het personeel waren geleverd.
In het rapport stond dat OAG niet in staat was om controleren of alle IT-middelen waren teruggestuurd naar DPLH omdat er onvoldoende gegevens waren over wat er was uitgegeven aan de 27 mensen in de steekproef. Het zei dat 15 medewerkers waren vertrokken zonder bewijs van terugkeer van de laptop. Van slechts twee van de 27 mensen was bekend dat ze een telefoon hadden gekregen, en er was bewijs dat er maar één was teruggestuurd.
Bij DLGSC vond de OAG gegevens van slechts zes ontslagen medewerkers in de steekproef van 30 met betrekking tot laptopretouren en Financiën toonde aan dat 19 van de 26 medewerkers in de steekproef hun IT-apparatuur teruggaven.
Om het risico van onbevoegde toegang tot gebouwen wanneer personeel vertrekt te minimaliseren, houden door OAG aanbevolen entiteiten een nauwkeurig register bij van alle toegangspassen, inclusief retouren en annulering/deactivering, voeren regelmatig audits uit van alle actieve passen en zorgen ervoor dat alle toegangspassen worden geretourneerd wanneer personeel vertrekt.
De OAG heeft de entiteiten ook verzocht ervoor te zorgen dat de toegang tot IT-systemen onmiddellijk wordt verwijderd of uitgeschakeld wanneer het personeel vertrekt. Het heeft de entiteiten ook gevraagd duidelijk vast te leggen wanneer de toegang tot het IT-systeem werd verwijderd en een register bij te houden van alle activa die aan het personeel zijn verstrekt bij aanvang, tijdens het dienstverband en wat wordt teruggegeven bij het verlaten.
Daarnaast is aan entiteiten gevraagd om het risico op financieel verlies door te hoge betalingen aan ontslagen werknemers te minimaliseren, de risico's met verschillende omstandigheden van beëindiging van het dienstverband beter te beheren en de communicatie tussen bedrijfsfuncties die verantwoordelijk zijn voor het vertrek van personeel te verbeteren.
MEER UIT HET WESTEN Auditeur constateert dat de politie van WA drie keer toegang had tot SafeWA-gegevens en dat de app gebrekkig was bij de lancering De 'ambitieuze' nieuwe digitale strategie van West-Australië om deze door te voeren naar 2025328 zwakke punten gevonden door WA-auditor-generaal in 50 lokale overheidssystemen12 jaar later , audit vindt dat WA-overheidsinstanties nog steeds geen infosec krijgen
Verwante onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters 