Generalrevisor i Vest-Australia har slengt mot lokale myndigheter (LG) i den harde grensestaten etter å ha fastslått at de ikke administrerte cyberrisiko godt.
Resultatet av tilsynet ble oppsummert av to sentrale funn som ble notert i revisjonsrapporten. Den første var at de fleste sårbarhetene som ble funnet under black box-testing var over ett år gamle, og i ett tilfelle hadde en sårbarhet eksistert i halvannet tiår.
“Vi testet de reviderte LG-enhetenes offentlig tilgjengelige IT-infrastruktur og fant sårbarheter av ulik type, alvorlighetsgrad og alder. Sårbarhetene inkluderte avsløring av teknisk informasjon, utdatert programvare, feil eller svak kryptering, usikker programvarekonfigurasjon og passord sendt i klartekst over internett», står det.
“44 % av sårbarhetene var av kritisk og høy alvorlighetsgrad, med ytterligere 49 % av middels alvorlighetsgrad.
“Kjente kritiske og alvorlige sårbarheter er generelt enkle å utnytte og utsetter LG-enheter for økt risiko for kompromittering.”
AG fant utdatert programvare sto for 55 % av sårbarhetene, etterfulgt av svak eller mangelfull kryptering på 34 %, og usikker konfigurasjon på 8 % av sårbarhetene.
Det andre nøkkelfunnet var en phishing-test, som førte brukere til en side som ba dem om påloggingsinformasjon. Hos én enhet klikket over 50 personer på lenken, og rundt 45 sendte inn legitimasjon, dette var et resultat av at en av personene som ble valgt ut for phishing-testen videresendte den til andre ansatte og eksterne kontakter.
AG sa fra den ene fremadrettede handlingen at den var i stand til å samle inn 29 ekstra personelllegitimasjon som falt utenfor det tiltenkte testomfanget, og 15 legitimasjon fra de eksterne til enheten.
Antall klikk og legitimasjon samlet inn var rundt 5 til 10 ganger høyere enn det nest høyeste antallet fra en revidert enhet.
“[Dette] viser at folk generelt stoler på og er mer sannsynlig å svare på e-poster fra kjente kontakter,” heter det i rapporten.