0
Western Australia, il Revisore Generale ha espresso la sua delusione per il fatto che le agenzie governative dello stato non sono semplici passi per proteggere i sistemi informatici.
Nella sua nona edizione Information Systems Audit Report [PDF], Colin Murphy sondato cinque agenzie governative e ha evidenziato la sua frustrazione nella ripetizione delle osservazioni che ha fatto in precedenti verifiche.
“Purtroppo, ancora una volta devo segnalare che molte agenzie sono semplicemente non prendendo i rischi per i loro sistemi informativi, seriamente,” Murphy panoramica legge. “Io continuo a segnalare lo stesso comune di debolezza, anno dopo anno, e ancora molte agenzie sono ancora di agire.”
Murphy ha detto che è “particolarmente frustrato” con le agenzie dello stato, dato che molti problemi in precedenza ha generato può essere facilmente affrontati. Questi sono la cattiva gestione delle password e garantire i processi di recupero di dati e le operazioni in caso di incidente, sono aggiornati, ha spiegato.
“Un problema urgente che deve essere riconosciuto e affrontato in tutto il settore per le agenzie esecutivo di gestione per impegnarsi con la sicurezza delle informazioni, invece di considerare come una questione per i loro reparti,” Murphy ha continuato.
“Come recenti di alto profilo minacce malware ci hanno mostrato, nessuna agenzia o sistema è immune da questa evoluzione e di continue minacce.
“Il rischio di operazioni di agenzia e di informazione è reale e deve essere preso sul serio.”
La relazione ha esaminato le principali applicazioni aziendali cinque agenzie: Il Western Australian forze di Polizia e di Immagine per la Violazione di un Sistema di Elaborazione (IIPS); Passare dal Reparto Corse, di Gioco e di Liquori; la Chimica del Centro Laboratory Information Management system (LIS); in Caso di Gestione e Sistema di Intelligenza (CMIS) di Corruzione e la Criminalità della Commissione; e il Dipartimento delle Finanze del Progetto e del Contratto di Gestione (PACMAN).
Il Revisore Generale poi, rivedendo la sistematica manipolazione ed elaborazione di dati attraverso le politiche e le procedure di backup e ripristino, e la pista di controllo, oltre ad altre, come parte della sua sonda.
Il rapporto evidenzia che tutte e cinque le domande di controllo di debolezza che sono stati per lo più legati alla scarsa sicurezza delle informazioni, le politiche e le procedure. Ha fatto 65 risultati per le cinque applicazioni, valutazione di quattro significative, 53 moderato, e otto minori.
Quattro significative preoccupazioni legate alla sicurezza delle informazioni sensibili, di backup e di ripristino e di elaborazione dei dati.
La Chimica del Centro LIS avuto il maggior numero di preoccupazioni, con il Revisore Generale 22 risultati, con il 32 per cento derivante dal suo debole procedure e politiche di sicurezza.
Mentre ChemCentre si applica tecnico controlli per garantire la sicurezza dei propri dati e applicazioni, il rapporto ha detto che molti controlli potrebbero non soddisfare gli obiettivi di sicurezza, le politiche sono carenti o non aggiornati.
“Il criterio di password, ultima revisione nel 2010, permette agli utenti di impostare le password semplici come “password” o ‘12345678’. Inoltre, la politica non richiede password più sicure per la fortemente privilegiato di rete, database, e l’applicazione dei conti”, dice la relazione.
“Come risultato, siamo stati facilmente in grado di indovinare la password per il database di account di amministratore di sistema e per i conti all’interno di ForLIMS.”
Come risultato, Murphy fatto sei raccomandazioni che ChemCentre dovrebbe adottare, entro il mese di agosto 2017, che comprende lo sviluppo di nuovi, e di esaminare le politiche per la sicurezza; l’aggiornamento del relativo quadro di gestione del rischio e di effettuare una valutazione del rischio; – condurre una valutazione di impatto commerciale e di sviluppare un piano di disaster recovery; e di sviluppare un piano strategico di sviluppo del software processo di aggiornamento e documentazione dell’applicazione per garantire adeguati controlli sono in atto per proteggere le informazioni sensibili.
Il Revisore Generale ha fatto raccomandazioni simili ad altri quattro entità di governo, chiedendo di Polizia di revisione del processo per la gestione delle vulnerabilità di sicurezza, aggiornamenti software, patch, e per valutare la possibilità di automatizzare i suoi processi manuali sul posto di infrazioni.
Ci ha anche consigliato il Dipartimento di Corse, Giochi di Liquori e di guardare in automatizzando i processi manuali e che è meglio definire la gestione dell’accesso per i propri sistemi.
Il Revisore Generale ha inoltre condotto un’indagine sul generale dei controlli del computer (GCC) all’interno di enti governativi per determinare se il computer controlla supportare efficacemente la riservatezza, l’integrità e la disponibilità dei sistemi informativi.
GCC includere i controlli sull’ambiente nel suo complesso, le operazioni del computer, l’accesso a programmi e dati, il programma di sviluppo e i cambiamenti di programma, concentrandosi sulla gestione dei rischi, sicurezza delle informazioni, business continuity, di cambiamento di controllo, di sicurezza fisica e funzionamenti.
“Abbiamo segnalato 441 GCC problemi al 46 agenzie sottoposto a revisione nel 2016, rispetto ai 454 problemi a 45 agenzie nel 2015”, dice la relazione. “C’era anche una diminuzione del numero di agenzie giudicate maturo del computer in generale ambienti di controllo su tutte e sei le categorie di valutazione.”
Solo sette agenzie incontrato il Revisore Generale, le aspettative per la gestione dei propri ambienti di computer in modo efficace, rispetto a 10 nel 2015.
Risultati per la protezione dei dati e la continuità del business sono stati contrassegnati come deludente da Murphy, con il 61 per cento delle agenzie di non riuscire a raggiungere un livello di tre o più elevato di sicurezza delle informazioni, con il 73 per cento non riesce a soddisfare il livello di tre o superiore in continuità aziendale.
Tuttavia, Lotterywest, il Dipartimento del Premier e del governo, e Corse e delle Scommesse Australia Occidentale sono stati contrassegnati come costantemente dimostrando buone pratiche di gestione in tutte le aree di valutazione.
Solo il 39% delle agenzie ha incontrato il Sindaco Generale di riferimento per un’efficace gestione della sicurezza delle informazioni, che sono scesi dell ‘ 1 per cento rispetto all’anno precedente.
Murphy fatto sei raccomandazioni al governo di stato agenzie di dicembre, dopo che è stato trovato sei agenzie in precedenza era stato il bersaglio di campagne di malware.
Il Dipartimento del Procuratore Generale, Dipartimento delle Miniere e del Petrolio, il Dipartimento dei Trasporti, Strade Principali in Australia Occidentale, e l’Ufficio del Governo Chief Information Officer (OGCIO) sono stati trovati per essere sotto la costante minaccia, che il Revisore Generale ha evidenziato la necessità di migliorare il governo centrale misure per identificare, mettere in guardia, e prevenire gli attacchi.
Sotto l’attenta vigilanza della OGCIO — istituito nel mese di luglio 2015 — Murphy detto in precedenza voleva vedere il WA settore pubblico in considerazione i metodi per promuovere la “collaborazione, di informazione e di condivisione delle risorse” tra le agenzie. Egli ha inoltre suggerito che il settore pubblico raccogliere informazioni per capire correttamente la minaccia di malware e altre minacce informatiche per il governo dello stato.
Il Queensland Audit Office (QAO) anche presentato un report di questa settimana, incentrato sulla Sicurezza delle fondamentali infrastrutture idriche in tutto lo stato.
Il rapporto [PDF] trovato l’acqua in sistemi di controllo in Queensland non erano così sicuro, come avrebbero dovuto, specificando l’età di molti dei sistemi di controllo, combinato con il più recente integrazione con le reti aziendali, che aveva portato in a rischi maggiori che non è sempre stata riconosciuta e testati da enti stessi.
“I controlli di sicurezza non sufficientemente proteggerli da interno o esterno, la tecnologia dell’informazione-gli attacchi all'”, dice la relazione, rilevando tutte le entità sondato erano suscettibili di violazione della sicurezza o attacchi di hacking a causa della debolezza dei processi e dei controlli.
Preoccupazione per la QAO è il rischio potenziale di attacchi di disturbare acqua e di trattamento delle acque reflue, servizi, così come i relativi servizi che si basano sull’entità degli ambienti informatici.
“C’è stato un rischio per la salute pubblica e apprezzabile perdita economica in termini di perdita di produttività, non solo per l’acqua di fornitori di servizi, ma anche per i cittadini e le imprese”, il QAO scritto.
Dall’audit è emerso che, mentre tutti i soggetti controllati avuto la capacità di rispondere a incidenti di sicurezza informatica, se rilevato, non erano ben preparati a rispondere agli attacchi informatici come non aveva previsto o testato il recupero e la risposta da un malintenzionato o in caso di incidenti informatici.
Il QAO preoccupato che i soggetti avevano segnalato potrebbero operare piccole piante o parti delle loro più grandi impianti di trattamento dell’acqua manuale in caso di interruzione dei sistemi di computer, ma non aveva dimostrato tale capacità.
Come risultato, il rapporto raccomanda di acqua prestatori di servizi di identificare i rischi della tecnologia dell’informazione violazioni della sicurezza, implementare i controlli per la protezione dei sistemi, e di monitorare e verificare l’efficacia dei controlli.
“Mentre le entità abbiamo controllato, hanno avviato la procedura in questi ultimi anni per migliorare la loro sicurezza delle tecnologie dell’informazione, dei risultati di questa revisione mostra che management ha bisogno di fare di più in termini di vigilanza, la leadership e la direzione”, dice la relazione.
Ultime notizie Australiano
Australia per la crittografia di contrastare il pensiero è pieno
Ransomware blocca la produzione a Cadbury della Tasmania fabbrica di cioccolato
Brisbane City Council “più impegnati” per commerciale risoluzione: TechnologyOne
NBN per aumentare i dati di quote disponibili su Sky Muster
Ufficio di controllo chiamate myGov ‘in gran parte efficace’ nonostante triplicare il budget iniziale
0