Defectele sistemului de registru WA îl obligă pe auditor să amâne constatările cu 18 luni – Strategie – Securitate


Auditorul Australiei de Vest a fost atât de îngrijorat de vulnerabilitățile din sistemul de registru al statului anul trecut, încât a făcut pasul neobișnuit de a amâna publicarea constatărilor, astfel încât problemele să poată fi soluționate.

Caroline Spencer a făcut revelația într-un audit unic[[pdf]joi, la 18 luni complete de la prezentarea revizuirii sistemelor de informații din 2019, care altfel ar fi detaliat vulnerabilitățile.

Sistemul de registru, care se află în cadrul Departamentului de Justiție al statului, este utilizat pentru „gestionarea informațiilor despre toate nașterile, adopțiile, decesele, căsătoriile și înregistrările privind schimbarea numelui pentru WA”.

„Rezultatele auditului au fost atât de îngrijorătoare încât, într-un pas extrem de neobișnuit … am decis să nu includ rezultatele acestui audit de control al aplicației în raportul din mai 2019 către Parlament”, a spus ea.

„Am considerat că publicarea rezultatelor semnificative la acel moment, când vulnerabilitățile sistemului încă existau, nu ar fi în interesul public”.

Auditul a constatat că sistemul prezintă „riscul accesului neautorizat, modificării și divulgării din cauza controalelor inadecvate ale bazei de date, vulnerabilităților de securitate și monitorizării insuficiente a modificărilor”.

Vulnerabilitățile de securitate includeau „aplicații terțe neacceptate, configurări greșite și patch-uri de securitate lipsă.

„Aceste vulnerabilități erau prezente pe web, în ​​baza de date și în serviciile de raportare a auditului în mediile de dezvoltare, testare și producție”, se menționează în raportul de audit.

Auditul a constatat, de asemenea, că nu au existat înregistrări sau audituri, nicio criptare a datelor pentru a proteja informațiile confidențiale, parole slabe pentru contul de administrator al sistemului și o planificare slabă de recuperare în caz de dezastru.

De atunci, Justiția a întreprins „o muncă semnificativă” pentru îmbunătățirea securității informațiilor, deși „este nevoie de mai multă muncă” pentru a proteja confidențialitatea și integritatea datelor sensibile conținute în sistem.

Spencer a declarat că decizia de a exclude constatările din raportul din 2018 a fost luată din motive de interes public, deoarece sistemul conține înregistrări de identitate care sunt „fundamentale pentru o societate civilă”.

„Cunoașterea punctelor slabe ale acestui sistem ar fi de un interes deosebit pentru cei cu intenție rău intenționată care caută câștiguri financiare sau de altă natură din modificarea sau accesul la înregistrările de identitate fundamentale ale cetățenilor din WA”, a spus ea.

„Riscul este mai mare din cauza altor slăbiciuni din mediul IT mai larg al Departamentului Justiției, identificat și de acest birou în auditurile anterioare de-a lungul anilor.

„Acestea au inclus controale slabe de securitate, acces și gestionare a vulnerabilității rețelei, care sunt concepute pentru a proteja confidențialitatea și integritatea datelor sensibile și privilegiate.”

Spencer a spus că, în ultimele 18 luni, directorul general al departamentului a furnizat actualizări periodice cu privire la progresul lucrărilor, pe care biroul de audit le-a verificat independent.

„Era important să abordăm aceste aspecte înainte de raportarea publică, altfel s-ar putea să fi expus un sistem critic și un set de date la un prejudiciu deliberat”, a adăugat ea.

Biroul de audit a făcut șase recomandări care urmează să fie puse în aplicare până în decembrie 2021, inclusiv faptul că controalele pentru sistemele care stochează informații sensibile continuă să fie consolidate.



Source link

Lasă un răspuns