Rigsrevisionen af det Vestlige Australien har igen opfordret regeringen enheder til deres informationssikkerhed, med en ny rapport, at finde, i nogle tilfælde, at der ikke foreligger helt af infosec politikker.
I den årlige Information Systems Audit Rapport [PDF] rigsrevisionen Caroline Spencer detaljer resultaterne af 2018 sonde af offentlige enheder, der ønsker at afgøre, om kontrollen effektivt at støtte den fortrolighed, integritet og tilgængelighed af information systems”.
Sonden, der dækker infosec, business kontinuitet, styring af IT-risici, IT-drift, kontrol med ændringer, og fysisk sikkerhed, fandt 547 emner på tværs af 47 stat, offentlige enheder. Med fem enheder outsourcing af deres evne vurderinger, og tre forsvinder på grund af maskiner-af-regering ændringer, rapporten taler til 39 enheder.
Med en skala fra nul til fem, rigsrevisionen forventer, at statslige enheder for at slå mindst en tre, som ser dem, der har dokumenteret og kommunikeret processer, der er bemyndiget, og i besiddelse af standardiserede procedurer, som ikke nødvendigvis er sofistikeret, men er det en formalisering af eksisterende praksis.
At sammenligne resultaterne til sidste år, rapporten viser et fald i andelen af virksomheder normeret til tre eller derover i fire af de seks kategorier. Kun fire enheder-Institut for Premier og Kabinet, Racing og Væddemål i det Vestlige Australien, Vestlige Australske Jord Oplysninger Myndighed, og Curtin University — har bestået alle seks kategorier konsekvent i tre år eller mere. Sonden er i sit ellevte år.
Kun 47% af de enheder, der mødte Auditor General ‘ s benchmark for effektiv styring af informationssikkerhed i 2018. Dette er en 3% tilbagegang fra 2017.
“Det er klart, fra de grundlæggende sikkerhedsmæssige svagheder vi har konstateret, at mange virksomheder mangler nogle vigtige sikkerhedskontroller, der er nødvendige for at beskytte systemer og information,” hedder det i rapporten. “Den trend over de sidste 11 år, viser en lille forbedring i enheder, der er” kontrol til at styre informationssikkerhed.”
I tillæg til infosec politikker, der enten ikke eksisterende, bliver forældede, eller som ikke er godkendt, svagheder sonden fandt gentaget mange af dem, der findes i fortiden, herunder let til at gætte adgangskoder til netværk, applikationer og databaser, såsom brug af “Password” eller “Password1”.
På en enhed, de adgangskoder, der blev fundet, gemmes i almindelig tekst på den delte netværksdrev og i prisen database og server-konto legitimationsoplysninger for en “kritisk system”.
Hertil kommer, at rapporten peger på en manglende processer til at få løftet medarbejdere i informations-sikkerhed; ingen infosec opmærksomhedsskabende programmer til medarbejdere, der var tilfælde af enheder, der ikke gennemgå meget privilegeret ansøgning, database og netværk brugerkonti, og en manglende processer til at identificere og afhjælpe sårbarheder i IT-infrastrukturen.
Deling af et case-studie af en unavngiven regering enhed, Auditor-General sagde, at det fandt, at virksomhedens netværk og IT-systemer var sårbar på grund af manglende anti-malware og intrusion detection/forebyggelse, kontrol og manglende sikkerhedsopdateringer.
Den enhed, der heller ikke havde lappet WannaCry sårbarheder i over fem måneder, og ikke har en proces til at lappe Linux-miljøer med manglende patches går tilbage til 2013.
Mange enheder blev konstateret, at ikke kræver yderligere kontrol, såsom multi-faktor-autentificering for at få adgang til kritiske systemer i skyen, herunder løn, og dem, der indeholder finansielle oplysninger. Nogle enheder, der ikke kræver multi-faktor-autentificering for remote access.
Hvor styring af IT-risici, der var bekymret for, svagheder rigsrevisionen fandt i prisen: politikker for risikostyring i kladdetilstand eller ikke udviklet, utilstrækkelig processer for at identificere, vurdere og behandle DET og relaterede risici og risici registre ikke opretholdes, for løbende overvågning og afhjælpning af identificerede risici.
“Alle virksomheder har behov for at sikre, at risici identificeres, vurderes og behandles inden for en rimelig tidshorisont, og at disse praksisser er blevet en central del af selskabets aktiviteter og executive tilsyn,” Spencer sagde.
Revision af IT-drift afsløret svagheder såsom: IT-strategier, der ikke er på plads; ingen logning af bruger adgang og aktiviteter; der er ingen anmeldelser af sikkerhed logfiler for kritiske systemer, adgang stadig ydes støtte til tidligere ansatte, og en manglende politikker og procedurer, og en svag ledelse over IT-drift; og selv den manglende adgang til IT-udstyr.
Fysisk sikkerhed undersøgelser, der også fundet mange enheder, der ikke overvåge ansatte og underleverandører adgang til computer værelser, og heller ikke har overblik over deres comms rum, hvor sikkerhedskopier og temperatur kontrol.
Applikationer i søgelyset
Første halvdel af rapporten beskriver de resultater, rigsrevisionen revision af de vigtigste programmer på fire offentlige virksomheder. Ansøgninger under lup: Den Offentlige Sektor Kommissionens Rekruttering Reklame Management System (RAMS), Horisont Power ‘ s Avancerede Målesystemer Infrastruktur, Kontoret for Statens Indtægter er Pensionist Rabat-Ordning og Udveksling, og den Nye matrikel under pleje af den Vestlige Australske Jord Oplysninger Myndighed.
Undersøgelsen viste, at alle fire havde svagheder, med den mest almindelige i forbindelse til dårlig kontraktstyring, politikker, procedurer, og informationssikkerhed.
RAMS blev fundet at have indeholdt software komponenter, der ikke længere understøttes af software leverandører, med en komponent, som er i besiddelse af kendte sikkerhedshuller. Disaster recovery heller ikke havde været testet siden i 2015.
Horizon Magt blev spurgt af rigsrevisionen til at flytte manuelle processer for at en digital løsning, revision og gennemføre relevante netværk og database sikkerhed, kontrol, revision og gennemføre relevante bruger access management praksis, og øge sin sårbarhed management proces til at omfatte tredjeparts-applikationer.
Statens Indtægter blev anset for at have utilstrækkelig brugeren adgang til objekter og anmeldelser, med sonden afsløre, at et stort antal brugere har adgang til ubeskyttet følsomme oplysninger.
Ligeledes var der 10 database konti med let til at gætte adgangskoder, og 70 konti ikke havde ændret deres adgangskoder for over 12 måneder-til syv-konti, det havde været over et år.
Endelig, den Nye matrikel besad svagheder, såsom kreditkort-oplysninger ved risiko for eksponering.
“Landgate er i strid med sin egen IKT-Politik for Acceptabel Brug, som forbyder kreditkort oplysninger er gemt ved hjælp af usikre metoder, såsom e-mail. Vi fandt indbetalingskort indeholder kreditkort oplysninger, der er gemt på lang sigt backups uden passende maskering af de detaljer,” hedder det i rapporten,
Som et resultat, den Vestlige Australske Jord Oplysninger Myndighed blev bedt om at gennemgå sin access-politikker, procedurer og kontroller for at sikre, at de gennemføres effektivt i juli 2019.
MERE FRA DET VESTLIGE AUSTRALIEN
Western Australian rigsrevisionen afslører huller i GovNext business caseWA skifter regering CIO position til Premier departmentWA ‘ s store plan om at slippe regering af DET ownershipWA pumper AU$35 m til digitale governmentWA Institut for Finansiering flytter til Microsoft Azure
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre