Bild: Getty Images/iStockphoto
En rapport från västra Australiens generalrevisor har funnit att vissa tidigare anställda vid statliga enheter fortfarande hade tillgång till IT-system och utrustning trots att deras anställning avslutades.
Upptäckten gjordes som en del av revisionsbyrån -Generals (OAG) undersökning av personalavgångskontroller på plats vid tre statliga myndigheter. Granskningen [PDF] bedömde om avdelningen för planering, land och kulturarv (DPLH), finansdepartementet och avdelningen för lokala myndigheter, sport och kulturindustri (DLGSC) effektivt och effektivt lyckades lämna personal för att minimera säkerheten, tillgångar och finansiella risker.
Granskningen omfattade perioden 1 juli 2019 till 31 december 2020 med ett urval på 30 anställda från DLGSC, 27 från DPLH och 26 från Finance, inklusive konsulter och tredjepartsentreprenörer, som lämnade under den perioden.
Medan rapporten visade att alla enheter avbröt personalens IT -systemåtkomst, gjordes det inte alltid direkt. Enligt rapporten tog det mellan två och 161 dagar att inaktivera eller dra tillbaka tillgången till informationssystem efter att personal lämnat företaget.
På Finance sa OAG att det tog mellan sex och 161 dagar att avbryta åtkomsten till IT -system efter den sista anställningsdagen. Fallet som tog 161 dagar var relaterat till ett utstationeringsarrangemang där den tidigare medarbetaren dock fortsatte att arbeta för företagets räkning.
När man ställde det fallet åt sidan tog det i genomsnitt sju dagar att avbryta tillgången till IT -system, trots att ramverket för säkerhetshantering noterade att IT -åtkomst för avslutad personal är avsedd att inaktiveras den sista anställningsdagen.
DPLH registrerar inte specifika datum när IT -åtkomst avbryts, men i sökningssystemlogginformation, där den var tillgänglig, fann OAG att sena avbokningar varierade mellan en och 124 dagar efter att individen hade lämnat.
På samma sätt fann OAG sa att DLGSC inte hade tillräcklig information för att avgöra när åtkomst till IT -system avbröts för alla 30 personer i sitt granskningsprov.
“Systemloggar som visar datum då detta inträffade registrerades inte. I avsaknad av denna information kontrollerade vi om någon av individerna hade tillgång till IT -systemen och fann att 29 inte fick tillgång till systemet efter att de lämnade”, står det i rapporten .
“En person hade åtkomst till systemet fyra dagar efter utgångsdatumet.”
Rapporten fann också att DPLH och DLGSC båda saknade adekvat information för att visa att kontorsaccesspass returnerades eller inaktiverades för 72% av den urvalade tidigare personalen. OAG sa att personalen på DLGSC debiterades en avgift på 12 AU $ för eventuella ändringar i statusen för passeringar från den privata operatören som hanterade byggnaden och därför inte godkändes för att genomföra processen.
Alla passeringar avbröts eller inaktiverades efter att personal lämnade Finance, men för fem av urvalet på 26, sa OAG att avbokningen av pass inte var aktuell. För fyra personer sa OAG att det tog mellan sex och 44 dagar. Individen på utstationering hade fortfarande fysisk byggåtkomst under de 116 dagar de fortsatte att ha systemåtkomst.
Utvärderingsprocessen för tillgångar på de tre enheterna granskades också, och OAG fann att ingen hade ett fullständigt och lättillgängligt register över alla tillgångar, inklusive IT -utrustning, som tillhandahålls personal.
Rapporten sade att OAG inte kunde verifiera om alla IT -tillgångar hade returnerats till DPLH eftersom det inte fanns tillräckligt med register över vad som utfärdades till de 27 personerna i urvalet. Den sa att 15 anställda hade lämnat utan bevis för bärbar dator. Endast två av de 27 personerna var kända för att ha fått en telefon utfärdad, med bevis som visar att endast en hade returnerats.
På DLGSC hittade Riksrevisionen register över endast sex avgående personal i sitt urval på 30 avseende bärbara datorer och ekonomi visade att 19 av 26 anställda i urvalet returnerade sin IT -utrustning.
För att minimera risken för obehörig åtkomst till lokaler när personal lämnar, har OAG rekommenderade enheter ett noggrant register över alla åtkomstpass inklusive returer och avbokning/avaktivering, regelbundna granskningar av alla aktiva passeringar och se till att alla passeringar returneras när personalen lämnar.
Riksrevisionen har också bett enheterna att se till att åtkomst till IT -system tas bort eller inaktiveras omedelbart när personalen lämnar. Det har också bett enheterna att tydligt registrera när borttagandet av IT -systemåtkomst inträffade och föra ett register över alla tillgångar som utfärdades till personalen vid början, under anställning och vad som returneras vid utgången.
Dessutom har enheter uppmanats att minimera risken för ekonomisk förlust från överbetalningar till uppsagda anställda, bättre hantera riskerna med olika omständigheter vid anställningsavslutning och förbättra kommunikationen mellan affärsfunktioner som ansvarar för personalutgångar.
MER FRÅN VÄSTEN
Revisorn finner att WA-polisen åtkomst till SafeWA-data 3 gånger och att appen var bristfällig vid lanseringen Western Australia 's “ambitiösa” nya digitala strategi för att genomföra den till 2025328 svagheter som WA-revisorn hittat i 50 lokala myndighetssystem12 år senare , finner revisionen att WA -myndigheter fortfarande inte får information
Relaterade ämnen:
Australien Security TV Data Management CXO Data Centers 