Billede: Getty Images/iStockphoto
En rapport fra Western Australias generalrevisor har fundet ud af, at nogle tidligere ansatte ved statslige enheder stadig havde adgang til it-systemer og udstyr, selvom deres ansættelse blev afbrudt.
Fundet blev gjort som en del af Revisorkontoret -Generals (OAG) undersøgelse af personalets exitkontroller på plads hos tre statslige offentlige myndigheder. Revisionen [PDF] vurderede, om Institut for Planlægning, Lands og Heritage (DPLH), Finansministeriet og Department of Local Government, Sport and Cultural Industries (DLGSC) effektivt og effektivt administrerede personalets exit for at minimere sikkerheden, aktiv og finansielle risici.
Revisionen dækkede perioden 1. juli 2019 til 31. december 2020 med en stikprøve på 30 ansatte fra DLGSC, 27 fra DPLH og 26 fra Finance, inklusive konsulenter og tredjepartsentreprenører, der forlod i denne periode.
Mens rapporten fandt, at alle enheder annullerede at forlade personalets it -systemadgang, blev det ikke altid gjort med det samme. Ifølge rapporten tog det mellem to og 161 dage at deaktivere eller trække adgangen til informationssystemer tilbage, efter at personalet forlod virksomheden.
Hos Finance sagde OAG, at det tog mellem seks og 161 dage at annullere adgangen til it -systemer efter den sidste ansættelsesdag. Sagen, der tog 161 dage, var relateret til en udstationeringsordning, hvor den tidligere medarbejder dog fortsatte med at arbejde på vegne af virksomheden.
Når denne sag blev lagt til side, tog Finance i gennemsnit syv dage at annullere adgang til it -systemer, på trods af at dens sikkerhedsstyringsramme bemærkede, at it -adgang for opsagt personale skal deaktiveres på den sidste ansættelsesdag.
DPLH registrerer ikke bestemte datoer, når it -adgang annulleres, men i systemundersøgelsesoplysninger, hvor de var tilgængelige, fandt OAG, at sene aflysninger varierede mellem en og 124 dage efter, at den enkelte havde forladt.
På samme måde fandt OAG sagde, at DLGSC ikke havde tilstrækkelige oplysninger til at afgøre, hvornår adgangen til it -systemer blev annulleret for alle 30 personer i sin revisionsprøve.
“Systemlogfiler, der viser datoerne for, hvornår dette skete, blev ikke registreret. I mangel af disse oplysninger kontrollerede vi, om nogen af personerne havde adgang til it -systemerne og fandt ud af, at 29 ikke havde adgang til systemet, efter at de forlod,” hedder det i rapporten. .
“En person havde adgang til systemet fire dage efter deres afslutningsdato.”
Rapporten fandt også ud af, at DPLH og DLGSC begge manglede tilstrækkelige oplysninger til at vise, at kontoradgangskort blev returneret eller deaktiveret for 72% af de tidligere ansatte i stikprøven. OAG sagde, at personalet på DLGSC blev opkrævet et gebyr på 12 AU $ for eventuelle ændringer i status for passager fra den private operatør, der administrerede bygningen, og derfor ikke blev givet anledning til at foretage processen.
Alle adgangskort blev annulleret eller deaktiveret efter at personalet forlod Finans, men for fem ud af stikprøven på 26, sagde OAG, at annullering af pas ikke var rettidig. For fire personer sagde OAG, at det tog mellem seks og 44 dage. Personen på udstationering havde stadig fysisk bygningsadgang i de 116 dage, de fortsat havde systemadgang.
Aktivitetsreturprocessen i de tre enheder blev også undersøgt, idet OAG fandt, at ingen havde en komplet og let tilgængelig oversigt over alle aktiver, inklusive it -udstyr, som blev leveret til personalet.
Rapporten sagde, at OAG ikke var i stand til at kontrollere, om alle it -aktiver var blevet returneret til DPLH, fordi der ikke var tilstrækkelige registreringer af, hvad der blev udstedt til de 27 personer i stikprøven. Det sagde, at 15 medarbejdere havde forladt uden tegn på bærbar computer. Kun to af de 27 personer var kendt for at have fået en telefon udstedt, med beviser for, at kun en var blevet returneret.
På DLGSC fandt Rigsrevisionen optegnelser over kun seks afskedigede medarbejdere i sin stikprøve på 30 vedrørende returnering af bærbare computere, og Finans viste, at 19 af 26 medarbejdere i prøven returnerede deres it -udstyr.
For at minimere risikoen for uautoriseret adgang til lokaler, når personalet forlader, fører OAG -anbefalede enheder et nøjagtigt register over alle adgangskort inklusive retur og aflysning/deaktivering, foretager regelmæssige revisioner af alle aktive passager og sikrer, at alle adgangskort returneres, når personalet forlader.
Riksrevisionen har også anmodet enhederne om at sikre, at adgangen til it -systemer fjernes eller deaktiveres med det samme, når personalet forlader. Det har også bedt enhederne om tydeligt at registrere, hvornår fjernelsen af it -systemadgang fandt sted og føre et register over alle aktiver, der blev udstedt til personalet ved påbegyndelse, under ansættelse, og hvad der returneres ved udgang.
Desuden er virksomheder blevet bedt om at minimere risikoen for økonomisk tab fra overbetaling til opsagte medarbejdere, bedre håndtere risiciene under forskellige omstændigheder ved ansættelsesforhold og forbedre kommunikationen mellem forretningsfunktioner, der er ansvarlige for personalets udgange.
MERE FRA VESTEN
Revisor finder, at WA-politiet har haft adgang til SafeWA-data 3 gange, og appen var mangelfuld ved lanceringen Western Australia's 'ambitiøse' nye digitale strategi for at føre den videre til 2025328 svagheder fundet af WA-revisor i 50 lokale regeringssystemer 12 år senere , finder revisionen, at WA -statslige enheder stadig ikke får oplysninger
Relaterede emner:
Australien Security TV Data Management CXO Data Centers 