Noll
(Bild: Audit Office of NSW)
För de med intresse för informationssäkerhet, som skulle vilja ha en allvarsam läsa för att ta udden av den semester cheer, Rapport om Intern Kontroll och Styrning 2017 från Audit Office of New South Wales passar räkningen.
Släpptes före Jul, rapport redogör för i vilken utsträckning NSW myndigheter kämpar för att uppfylla grunderna av trygghet, som är ännu mer om med tanke på de organ som ofta hanterar personlig medborgare data.
“De flesta myndigheter inte i tillräcklig utsträckning övervaka eller begränsa privilegierad tillgång till deras system och vissa inte verkställa lösenord kontroller,” enligt rapporten.
Riksrevisionen fann 68 procent av byråerna inte “hantera” som har tillgång till systemen.
“Vi fann att en myndighet hade 37 privilegierade användarkonton, inklusive 33 som var vilande,” kontoret sa. “Byrån hade ingen formell process för att skapa, ändra eller inaktivera privilegierade användare.”
Under året har kontoret sa NSW myndigheter som det såg ut på erfarna 8,503 it-angrepp i en signifikant absolut ökning på 1,558 attacker rapporterades förra året och 603 attacker ett år tidigare. Det finns dock ett par invändningar: Två myndigheter rapporterade 7000-tal attacker mellan dem, och det finns ingen gemensam definition av “cyber-attack” inom byråerna.
“Omfattningen av it-säkerhet hot är okänd eftersom byråer definiera en” it-attacker ” på ett annat sätt,” enligt rapporten.
“Eftersom det finns olika förhållningssätt till vad organ registrera och rapportera, och myndigheter använder olika definitioner för en “cyber attack”, antal och typ av it-attacker är okänd.”
För att lösa sin definition av problemet, NSW skulle göra klokt i att följa den federala regeringen, som är i färd med att skapa sin It-Säkerhet Lexikon. Australien inte behöver motstridiga cyber definitioner flyttas upp från myndigheter, till en nivå där stater kan ha sin egen unika definitioner och Canberra har ännu en.
Delar av rapporten göra för verkligt huvud-repas stunder: 5 procent av organ “inte anser att it-attacker utgöra en risk alls”, en byrå som inte regelbundet uppdatera sin anti-virus signaturer, och en byrå förra testade sin katastrofplan för fyra år sedan.
(Bild: Audit Office of NSW)
I rapporten konstateras 13 procent av byråerna inte upprätthålla en fullständig inventering av IT-system, samma procentandel inte har en disaster recovery plan på plats för alla kritiska system, och 11 procent misslyckades med att “på lämpligt sätt identifiera kritiska system och funktioner verksamhet.
Det finns också 14 procent av de myndigheter som använder delade tjänster, misslyckas med att ha ett service level agreement (SLA) på plats. Av dem som inte har ett SLA, 84 procent inte stava ut straff för dåliga resultat, 60 procent misslyckas med att detalj vad som styr tjänsteleverantör måste upprätthålla, 20 procent inte har resultatmål.
“DET brister kontroll var den vanligaste källan för den interna kontrollen frågor i våra 2016-17 revision av NSW organ”, NSW Revisor generalsekreterare Margaret Crawford sade i ett uttalande.
För en stat som driver digitala initiativ med god aptit, det bör finnas om att ett antal byråer som underlåter att passera motsvarande en säkerhet 101 kurs.
Och larm bör verkligen ring när du ta hänsyn till att myndigheternas tillgång till Australien metadata retention system, fyra omfattas av riksrevisionens uppdrag: NSW Polisen. NSW Brottslighet Kommissionen, NSW Oberoende Kommission Mot Korruption, och NSW Polisen Integritet Kommissionen.
Slutligen, vid tanken på att den federala regeringen göra bättre på säkerhet 101 tar håll, i skrivande stund, platsen för den Australiska Kommissionen på Säkerhet och Kvalitet inom Hälso-och Sjukvård har varit otillgänglig utan att göra en säkerhet undantag i din webbläsare tack vare ett SSL-certifikat som löpte ut den 22 December.
(Bild: Audit Office of NSW)
Relaterade Täckning
NSW regeringen lanserar DigitalNSW plattform och data marketplace
DigitalNSW fungerar som en inspelning verktyg för myndigheter och deras projekt, medan D Marknaden gör det möjligt för medborgarna att ladda ner flera datamängder på en plats.
NSW regeringen börjar digital körkort rättegång i Dubbo
New South Wales regering planerar att följa upp den digitala körkort rättegång med en statewide utbyggnaden av nästa år.
Service NSW vill dela med sig av teknik för gränsöverskridande delgivning leverans
Service NSW: s tillförordnade VD berättade ZDNet att organisationen bör vara öppna sin teknik till resten av landet för att hjälpa till i medborgarnas tjänst leverans.
NSW Polisen inriktning visar de etiska riskerna av hemliga algoritmer
När det okända och oförklarliga process bestämmer du är en potentiell framtida kriminella, enkelt klädd i ” fel “kläder och sitter på” fel ” tåg vagn kan locka till sig polisens uppmärksamhet.
NSW justitiedepartementet förvandlar tillbaka med ServiceNow
Statens justitiedepartementet har vänt sig till ServiceNow att förändra sin IT och back-office service management som en del av sitt hopp till digital leverans av tjänster.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0