Zero
Western Australia, il Revisore Generale ha, ancora una volta chiamato le agenzie statali per non prendere rischi seriamente, nonostante molti di essere “facilmente indirizzabile”, in particolare quando si tratta di password di igiene.
In Information Systems Audit Rapporto di il 2018 [PDF], il Revisore Generale ha sottolineato che i rischi per gli enti di governo sono semplicemente non propriamente intesa, notando che essi sono “certamente non essere gestiti in modo efficace”.
“Più di un quarto di rete abilitata conti abbiamo visto aveva le password deboli al momento del controllo,” la conclusione del rapporto di stati.
“In un certo numero di casi, questi account vengono utilizzati per l’accesso critico agenzia di sistemi e informazioni tramite accesso remoto senza ulteriori controlli.
“In genere, agenzie mancava tecnico controlli per far rispettare una buona password attraverso le reti, le applicazioni e i database, e non hanno una guida sulle buone pratiche per la gestione delle password.”
17 agenzie di password e account privilegiati i processi e i controlli sono stati sondati come parte della revisione annuale, la trasformazione di circa 520,000 attivato e disattivato gli account. Di questi, 234,000 sono stati attivati e il 26 per cento ha avuto le password deboli.
La sonda trovato Password123 è stato utilizzato per garantire 1.464 pazienti di account attivi, con un totale 6.546 gruppi di account utilizzando altrettanto debole di una password per accedere governo dei sistemi informativi.
Il Revisore Generale ha lode personale dell’agenzia per il tentativo di aumentare il proprio livello di password igiene rendendoli più, ma in molti casi questo, semplicemente, inclusa l’aggiunta di più numeri consecutivi, al fine di password.
Almeno 12 dei 17 campionati agenzie non hanno l’autenticazione multi-factor come un ulteriore livello di sicurezza per i sistemi a chiave, che sono accessibili tramite accesso remoto, la relazione trovata.
Quando si tratta di comprendere le implicazioni di database, in natura, il rapporto ha detto che una agenzia indagato era vecchio, versioni offline di ANNUNCIO banca dati memorizzati sul server e ampiamente disponibile a supportare gli utenti e i fornitori.
Un’altra agenzia inavvertitamente condiviso il suo ANNUNCIO intero database con un terzo.
Il Revisore Generale ha fatto una manciata di raccomandazioni come risultato delle indagini, tra cui quella che il Dipartimento del Premier e del Gabinetto di fornire una guida per le agenzie di modi per gestire al meglio l’identità e l’accesso, compresa la gestione delle password e l’autenticazione multi-fattore, entro la fine dell’anno.
Inoltre, ha chiesto che tutte le agenzie di adeguati criteri di sicurezza che richiedono una gestione del ciclo di vita di un approccio per i diversi tipi di account e i livelli di accesso; l’implementazione privilegiato di identity e access management best practices; considerare la possibilità di fornire personale con un modo sicuro per memorizzare le password e le soluzioni tecniche per ridurre il numero di password che gli utenti hanno bisogno; utilizzare multi-fattore di autenticazione per l’accesso remoto; evitare/blacklist l’uso in comune di password deboli; adattare i requisiti di password per ogni tipo di cliente, basata sul rischio, l’ambiente, la e altri controlli di attenuazione; e di mantenere la visibilità sullo scopo, la proprietà e la fruizione di servizi, di sistema, e gli account di database.
Come parte del suo annuale sonda, il Revisore Generale, inoltre, esamina le applicazioni chiave per una manciata di agenzie, con il Dipartimento di Salute del Paziente Medico Sistema di registrazione; il Dipartimento delle Miniere, l’Industria del Regolamento e Sicurezza di Locazione Vincoli del Sistema di Gestione; l’Ufficio delle Entrate dello Stato il Primo Proprietario di Casa Concedere Sistema on line; il Western Australian Commissione Elettorale Elezione del Sistema di Gestione WA; e il Keystart Regime di Custodia Trust Keysmart Sistema sotto il microscopio di quest’anno.
Tutte e cinque le domande di controllo di debolezza, con la maggior parte legati alla scarsa sicurezza delle informazioni e delle politiche e procedure, il Revisore Generale ha riferito.
49 risultati per le cinque applicazioni, nove valutato come significativo, 29 moderato, e 11 sono stati contrassegnati come minori. Le preoccupazioni principali erano per lo più circa la sicurezza delle informazioni sensibili, con un paio di cadere sotto le politiche e le procedure di banner.
In cui il Paziente Medico Sistema di registrazione è interessato, il Revisore Generale ha concluso che chiaro di decisione e di una mancanza di strategia di digitalizzazione ha influenzato la sua attuazione.
Il Dipartimento della Salute è ancora da decidere se tutti i medici della salute record dovranno essere digitalizzati in tutta l’Australia Occidentale, in quanto sono ancora in fase di sviluppo di una strategia digitale. Il Revisore Generale ha detto che come conseguenza, le decisioni riguardanti il suo design e la distribuzione sono realizzati in singoli ospedali senza tener conto di tutta bisogni di Salute.
La Locazione Obbligazioni Sistema di Gestione è stato chiamato fuori per aver inefficaci i controlli di sicurezza, quali password deboli e account di terze parti non correttamente gestito, nonostante le molte parti esterne avere totale accesso alle informazioni dei clienti.
Il Primo Proprietario di Casa Concedere sistema on-line allo stesso modo era debole di sicurezza. Nel 2016-17, quasi 15,630 le domande di sovvenzione sono stati registrati e gestiti dal sistema, ma dall’audit è emerso che non protetti i dati personali — come informazioni sul conto bancario — in Ufficio delle Entrate dello Stato dell’ambiente di test.
Mentre la revisione non ha trovato tutte le istanze di accesso non appropriato o uso improprio dell’Elezione del Sistema di Gestione, ha detto che le informazioni riservate è a rischio a causa dell’insufficienza di controlli delle password in chiaro database, e il minimo di tracking per il monitoraggio delle modifiche apportate ai dati.
Il Keystart Regime di Custodia Trust è stato segnalato dal Revisore Generale, che necessitano di un account pulire, con 32 sistema di conti scoperto che non era stato utilizzato per un massimo di otto anni.
RELATIVI COPERTURA
WA grande piano per sbarazzarsi del governo di proprietà
Con i soldi stretti grazie alla fine del boom minerario, l’obiettivo del governo del Western Australia GovNext-ICT iniziativa è quello di liberare lo stato di qualsiasi infrastruttura di proprietà.
WA comitato parlamentare di fiducia del governo CIO risolvere corrente di problemi
Un WA parlamentare comitato è preoccupato per il futuro dello stato di salute di contratti, indicando l’istituzione di un governo chief information officer come un’opportunità per evitare che la storia si ripeta.
WA Revisore Generale consiglia di inter-agenzia di cooperazione per contrastare il malware
Lo stato dell’Ufficio del Revisore Generale ha fatto sei raccomandazioni per prevenire la minaccia di malware indagando dopo sei Ovest agenzie del governo Australiano.
Il 25% dei dipendenti utilizza la stessa password per ogni account (TechRepublic)
Di questi, l ‘ 81% dichiara di non proteggere con password il loro telefono cellulare o un computer, secondo un OpenVPN report. Ecco come migliorare il dipendente cyber istruzione.
Argomenti Correlati:
Australia
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0