Bild: Getty Images/iStockphoto
Ein Bericht des Auditor-General von Western Australia hat ergeben, dass einige ehemalige Mitarbeiter staatlicher Einrichtungen trotz ihrer Beendigung des Arbeitsverhältnisses immer noch Zugang zu IT-Systemen und -Geräten hatten.
Die Feststellung wurde im Rahmen des Büros des Rechnungsprüfers getroffen -Generals (OAG) Untersuchung der Personalausgangskontrollen in drei staatlichen Behörden. Das Audit [PDF] bewertete, ob das Ministerium für Planung, Land und Kulturerbe (DPLH), das Finanzministerium und das Ministerium für Kommunalverwaltung, Sport- und Kulturindustrie (DLGSC) den Austritt von Mitarbeitern effektiv und effizient verwalteten, um die Sicherheit zu minimieren, Vermögens- und Finanzrisiken.
Die Prüfung umfasste den Zeitraum vom 1. Juli 2019 bis 31. Dezember 2020 mit einer Stichprobe von 30 Mitarbeitern des DLGSC, 27 des DPLH und 26 des Finanzwesens, einschließlich Beratern und Fremdfirmen, die in diesem Zeitraum ausgeschieden sind.
Obwohl der Bericht feststellte, dass alle Unternehmen den Zugang zum IT-System der Mitarbeiter abgebrochen haben, wurde dies nicht immer sofort getan. Dem Bericht zufolge dauerte es zwischen zwei und 161 Tage, um den Zugang zu Informationssystemen zu deaktivieren oder zu entziehen, nachdem Mitarbeiter das Unternehmen verlassen hatten.
Bei Finance sagte OAG, dass es zwischen sechs und 161 Tagen gedauert habe, um den Zugriff auf IT-Systeme nach dem letzten Tag der Beschäftigung zu stornieren. Der Fall, der 161 Tage dauerte, bezog sich jedoch auf eine Entsendevereinbarung, bei der der ehemalige Mitarbeiter jedoch weiterhin im Auftrag des Unternehmens tätig war.
Abgesehen von diesem Fall brauchte Finance durchschnittlich sieben Tage, um den Zugriff auf die IT-Systeme zu stornieren, obwohl das Sicherheitsmanagement-Framework feststellte, dass der IT-Zugriff für entlassene Mitarbeiter am letzten Tag der Beschäftigung deaktiviert werden soll.
DPLH zeichnet keine bestimmten Daten auf, an denen der IT-Zugriff storniert wird, aber bei der Überprüfung von Systemprotokollinformationen, sofern verfügbar, fand OAG verspätete Stornierungen zwischen einem und 124 Tagen nach dem Ausscheiden der Person.
Ähnlich wurden die OAG sagte, dass DLGSC nicht über ausreichende Informationen verfügte, um festzustellen, wann der Zugang zu IT-Systemen für alle 30 Personen in seiner Prüfungsstichprobe gesperrt wurde.
“Systemprotokolle, die das Datum des Auftretens dieses Ereignisses anzeigen, wurden nicht aufgezeichnet. Da diese Informationen nicht vorliegen, haben wir überprüft, ob eine der Personen auf die IT-Systeme zugegriffen hat und festgestellt, dass 29 nach dem Verlassen des Systems nicht mehr auf das System zugegriffen haben”, heißt es in dem Bericht .
“Eine Person hatte vier Tage nach ihrem Austrittsdatum auf das System zugegriffen.”
Der Bericht stellte auch fest, dass sowohl dem DPLH als auch dem DLGSC ausreichende Informationen fehlten, um zu belegen, dass 72 % der in die Stichprobe einbezogenen ehemaligen Mitarbeiter Bürozugangsausweise zurückgegeben oder deaktiviert wurden. Laut OAG wurde den Mitarbeitern des DLGSC eine Gebühr von 12 AUD für jede Änderung des Status von Pässen von dem privaten Betreiber, der das Gebäude verwaltete, in Rechnung gestellt und ihnen daher keine Anreize gegeben, den Vorgang durchzuführen.
Alle Zugangskarten wurden storniert oder deaktiviert Nachdem die Mitarbeiter Finance jedoch bei fünf der 26 Stichproben verlassen hatten, sagte die OAG, dass die Stornierung der Pässe nicht rechtzeitig erfolgte. Bei vier Personen dauerte es laut OAG zwischen sechs und 44 Tagen. Die abgeordnete Person hatte für die 116 Tage, an denen sie weiterhin Systemzugriff hatte, weiterhin physischen Zugang zum Gebäude.
Ebenfalls unter die Lupe genommen wurde der Prozess zur Rückgabe von Vermögenswerten in den drei Unternehmen, wobei die OAG feststellte, dass keine vollständige und leicht zugängliche Aufzeichnung aller Vermögenswerte, einschließlich der IT-Ausrüstung, die den Mitarbeitern zur Verfügung gestellt wurden.
Der Bericht besagte, dass die OAG nicht in der Lage war Überprüfen Sie, ob alle IT-Assets an DPLH zurückgegeben wurden, da unzureichende Aufzeichnungen über die Ausgaben an die 27 Personen in seiner Stichprobe vorhanden waren. Es hieß, 15 Mitarbeiter seien ohne Beweise für die Rückgabe des Laptops gegangen. Von nur zwei der 27 Personen war bekannt, dass ein Telefon ausgestellt wurde, und Beweise dafür, dass nur eine zurückgegeben wurde.
Bei der DLGSC fand die OAG nur sechs ausgeschiedene Mitarbeiter in ihrer Stichprobe von 30 in Bezug auf Laptop-Rückgaben und das Finanzwesen zeigte, dass 19 von 26 Mitarbeitern in der Stichprobe ihre IT-Geräte zurückgegeben haben.
Um das Risiko eines unbefugten Zutritts zu Räumlichkeiten beim Verlassen des Personals zu minimieren, führen die von der OAG empfohlenen Einrichtungen ein genaues Verzeichnis aller Zutrittsausweise, einschließlich Rückgaben und Stornierung/Deaktivierung, führen regelmäßige Audits aller aktiven Ausweise durch und stellen sicher, dass alle Zutrittsausweise beim Verlassen des Personals zurückgegeben werden.
Die BA hat die Einrichtungen auch aufgefordert, sicherzustellen, dass der Zugang zu den IT-Systemen sofort entfernt oder gesperrt wird, wenn das Personal ausscheidet. Es hat die Unternehmen auch aufgefordert, klar aufzuzeichnen, wann der Zugriff auf das IT-System aufgehoben wurde, und ein Verzeichnis aller Vermögenswerte zu führen, die den Mitarbeitern bei der Aufnahme, während der Beschäftigung ausgehändigt wurden und was bei der Ausreise zurückgegeben wird.
Darüber hinaus wurden Unternehmen aufgefordert, das Risiko finanzieller Verluste durch Überzahlungen an gekündigte Mitarbeiter zu minimieren, die Risiken bei unterschiedlichen Umständen der Beendigung des Arbeitsverhältnisses besser zu managen und die Kommunikation zwischen den für das Ausscheiden von Mitarbeitern verantwortlichen Geschäftsfunktionen zu verbessern.
MEHR AUS DEM WESTEN
Auditor stellt fest, dass die Polizei von WA dreimal auf SafeWA-Daten zugegriffen hat und die App bei der Einführung fehlerhaft warWestaustraliens „ehrgeizige“ neue digitale Strategie zur Umsetzung bis 2025328 Schwachstellen, die der WA Auditor-General in 50 lokalen Regierungssystemen 12 Jahre später festgestellt hat , Prüfung ergab, dass Regierungsbehörden von WA immer noch keine Informationen erhalten
Verwandte Themen:
Australien Security TV Data Management CXO Data Centers 