Bilde: Getty Images/iStockphoto
En rapport fra Vest-Australias riksrevisor har funnet ut at noen tidligere ansatte ved statlige enheter fortsatt hadde tilgang til IT-systemer og utstyr til tross for at ansettelsen ble avsluttet.
Funnet ble gjort som en del av Revisorkontoret. -Generals (OAG) undersøkelse av personalets utgangskontroller på plass ved tre statlige offentlige etater. Tilsynet [PDF] vurderte om Institutt for planlegging, land og kulturarv (DPLH), Finansdepartementet og Institutt for lokale myndigheter, sport og kulturindustrier (DLGSC) effektivt og effektivt klarte utgangen av ansatte for å minimere sikkerheten, eiendel og finansiell risiko.
Tilsynet omfattet perioden 1. juli 2019 til 31. desember 2020 med et utvalg på 30 ansatte fra DLGSC, 27 fra DPLH og 26 fra Finance, inkludert konsulenter og tredjepartsentreprenører, som dro i løpet av denne perioden.
Selv om rapporten oppdaget at alle enheter kansellerte tilgangen til IT -systemets personale, ble det ikke alltid gjort umiddelbart. I følge rapporten tok det mellom to og 161 dager å deaktivere eller trekke tilgangen til informasjonssystemer etter at personalet forlot enheten.
Hos Finance sa OAG at det tok mellom seks og 161 dager å avbryte tilgangen til IT -systemer etter den siste ansettelsesdagen. Saken som tok 161 dager var imidlertid relatert til en utleieordning der den tidligere ansatte fortsatte å utføre arbeid på vegne av enheten.
Når den saken ble lagt til side, tok Finance i gjennomsnitt sju dager å avbryte tilgang til IT -systemer, til tross for at rammeverket for sikkerhetsstyring bemerket at IT -tilgang for avsluttet personale er deaktivert den siste ansettelsesdagen.
DPLH registrerer ikke spesifikke datoer når IT -tilgang blir kansellert, men i undersøkelsessystemlogginformasjon, der den var tilgjengelig, fant OAG at sene kanselleringer varierte mellom en og 124 dager etter at personen hadde forlatt.
På samme måte fant OAG sa at DLGSC ikke hadde tilstrekkelig informasjon til å avgjøre når tilgangen til IT -systemer ble kansellert for alle 30 personene i revisjonsutvalget.
“Systemlogger som viser datoene for da dette skjedde ble ikke registrert. I mangel av denne informasjonen sjekket vi om noen av personene hadde fått tilgang til IT -systemene og fant ut at 29 ikke fikk tilgang til systemet etter at de dro,” sa rapporten .
“En person hadde tilgang til systemet fire dager etter utreisedatoen.”
Rapporten fant også at DPLH og DLGSC begge manglet tilstrekkelig informasjon for å vise at kontortilgangskort ble returnert eller deaktivert for 72% av de tidligere ansatte. OAG sa at ansatte ved DLGSC ble belastet med et gebyr på 12 USD for eventuelle endringer i statusen til passene fra den private operatøren som administrerte bygningen, og at de derfor ikke hadde anledning til å gjennomføre prosessen.
Alle adgangskort ble kansellert eller deaktivert etter at personalet forlot Finans, men for fem av utvalget på 26, sa OAG at kanselleringen av passene ikke var betimelig. For fire personer sa OAG at det tok mellom seks og 44 dager. Personen på utsendelse hadde fortsatt fysisk bygningsadgang i de 116 dagene de fortsatte å ha systemtilgang.
Også eiendomsreturprosessen hos de tre enhetene ble undersøkt, og OAG fant ingen som hadde en fullstendig og lett tilgjengelig oversikt over alle eiendeler, inkludert IT -utstyr, levert til personalet.
Rapporten sa at Riksrevisjonen ikke kunne kontrollere om alle IT -eiendeler hadde blitt returnert til DPLH fordi det ikke var tilstrekkelig registrering av det som ble utstedt til de 27 personene i utvalget. Det sa at 15 ansatte hadde reist uten bevis for retur av bærbar datamaskin. Bare to av de 27 personene var kjent for å ha fått utstedt en telefon, med bevis som beviser at bare én var returnert.
På DLGSC fant Riksrevisjonen registreringer av bare seks forlatte ansatte i utvalget på 30 vedrørende retur av bærbare datamaskiner, og finans viste at 19 av 26 ansatte i prøven returnerte IT -utstyret.
For å minimere risikoen for uautorisert tilgang til lokaler når personalet forlater, fører OAG -anbefalte enheter et nøyaktig register over alle adgangskort, inkludert retur og kansellering/deaktivering, gjennomfører regelmessige revisjoner av alle aktive passeringer og sikrer at alle adgangskort returneres når personalet går.
Riksrevisjonen har også bedt enhetene om å sikre at tilgang til IT -systemer blir fjernet eller deaktivert umiddelbart når personalet slutter. Det har også bedt enhetene om å tydelig registrere når fjerningen av IT -systemtilgang skjedde og føre et register over alle eiendeler som ble utstedt til ansatte ved oppstart, under ansettelse, og hva som returneres ved utgang.
I tillegg har enheter blitt bedt om å minimere risikoen for økonomisk tap fra overbetaling til oppsigede ansatte, bedre håndtere risikoen med forskjellige omstendigheter ved oppsigelse, og forbedre kommunikasjonen mellom forretningsfunksjoner som er ansvarlige for personalutganger.
MER FRA VESTEN
Revisor finner at WA-politiet fikk tilgang til SafeWA-data 3 ganger, og appen var feil ved lansering Western Australia 'ambisiøse' nye digitale strategi for å føre den videre til 2025328 svakheter funnet av WA-revisor i 50 lokale myndighetssystemer 12 år senere , finner revisjonen at WA -offentlige enheter fremdeles ikke får informasjon
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 