WA审计长报告发现州实体仍未获得信息安全

2019-05-16 11:32:45 来源:

西澳大利亚州审计长再次呼吁政府实体提高他们的信息安全实践,新报告发现,在某些情况下,完全缺乏信息安全政策。在年度信息系统审计报告[PDF]审计长Caroline Spencer详细介绍了2018年政府实体调查的结果,旨在确定控制措施是否“有效地支持信息系统的机密性,完整性和可用性”。该调查覆盖了信息安全,业务连续性,IT风险管理,IT运营,变更控制和物理安全,在47个州政府实体中发现了547个问题。由于五个实体外包其能力评估,三个实体因政府机构变更而消失,该报告向39个实体发表讲话。

审计长的评分范围为0到5,期望国家实体至少达到三个,这使得他们已经记录并传达了强制要求的流程,并拥有标准化的程序,这些程序不一定复杂,但却是现有实践的形式化。

将结果与去年进行比较,报告显示六个类别中有四个类别的实体在三个或以上的比例下降。只有四个实体 - 总理和内阁部,赛马和西澳大利亚州,西澳大利亚州土地信息局和科廷大学 - 已连续三年或更长时间通过所有六个类别。该调查已进入第11个年头。

在2018年,只有47%的实体符合审计长有效管理信息安全的基准。这比2017年下降了3%。

“从我们发现的基本安全漏洞中可以清楚地看出,许多实体缺乏保护系统和信息所需的一些重要安全控制措施,”报告称。“过去11年的趋势显示,实体管理信息安全的控制措施几乎没有改善。”

除了不存在,过时或未批准的信息安全策略之外,调查发现的弱点与过去发现的许多信息相呼应,包括易于猜测网络,应用程序和数据库的密码,例如使用“密码“或”密码1“。

在一个实体中,发现密码以纯文本形式存储在共享网络驱动器上,并包括“关键系统”的数据库和服务器帐户凭证。

此外,该报告强调缺乏提高信息安全工作人员的程序;没有针对员工的信息安全意识计划;有些实体没有审查高权限应用程序,数据库和网络用户帐户;以及缺乏识别和纠正IT基础架构内安全漏洞的流程。

审计长共享一个未命名的政府实体的案例研究表示,它发现该实体的网络和IT系统由于缺乏反恶意软件和入侵检测/预防控制以及缺少安全补丁而容易受到攻击。

该实体还没有修补WannaCry漏洞超过五个月,并且没有一个过程来修补Linux环境,缺少可追溯到2013年的补丁。

发现许多实体不需要额外的控制(如多因素身份验证)来访问云中的关键系统,包括工资单和包含财务信息的系统。某些实体不需要多因素身份验证进行远程访问。

在涉及IT风险管理的情况下,审计长发现的弱点包括:草案中的风险管理政策或未草拟的风险管理政策;识别,评估和处理IT及相关风险的流程不充分;并且没有维护风险登记,以便持续监测和减轻已识别的风险。

“实体需要确保在适当的时间框架内识别,评估和处理IT风险,并确保这些实践成为业务活动和执行监督的核心部分,”Spencer说。

对IT运营的审计揭示了诸如以下方面的弱点:IT策略不到位;没有记录用户访问和活动;没有关键系统安全日志的评论;仍然允许前工作人员进入;缺乏政策和程序,IT运营管理薄弱;甚至无法访问IT设备。

实物安全调查还发现,许多实体没有监控员工和承包商进入计算机房的情况,他们也没有关注备份和温度控制所涉及的通信室。

应用在聚光灯下

报告的前半部分详细介绍了审计长对四个公共部门实体关键业务应用的审计结果。显微镜下的应用是:公共部门委员会的招聘广告管理系统(RAMS),Horizo​​n Power的高级计量基础设施,国家税务局的养老金领取者退税计划和交换,以及西澳大利亚土地信息管理下的新土地登记权威。

调查发现,所有四个都有弱点,最常见的是与合同管理,政策,程序和信息安全不良有关。

发现RAMS包含软件供应商不再支持的软件组件,其中一个组件具有已知的安全漏洞。自2015年以来,灾难恢复也未经过测试。

审计长要求Horizo​​n Power将手动流程转移到数字解决方案,审查和实施适当的网络和数据库安全控制,审查和实施适当的用户访问管理实践,并增强其漏洞管理流程以包括第三方应用程序。

发现State Revenue的用户访问控制和评论不足,探测器发现大量用户可以访问不受保护的敏感信息。

同样,有10个数据库帐户,容易猜到密码,70个帐户在12个月内没有更改密码 - 七个帐户,已超过一年。

最后,新土地登记册存在诸如信用卡信息等风险敞口的弱点。

“Landgate违反了自己的ICT可接受使用政策,该政策禁止使用不安全的方法存储信用卡详细信息,例如电子邮件。我们发现包含信用卡信息的付款表格存储在长期备份中,而没有适当掩盖细节,”报告说,

因此,西澳大利亚州土地信息管理局被要求审查其访问政策,程序和控制措施,以确保它们在2019年7月之前得到有效实施。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top