Das Auditor-General Office stellt Schwachstellen in den IT-Kontrollen mehrerer Regierungsstellen fest, darunter das Verteidigungsministerium und das Finanzministerium, wo der Zugriff Dritter möglich ist Die Rechte waren lasch und die Protokollierungs- und Überprüfungsaktivitäten privilegierter Benutzer unzureichend. Er weist auf ähnliche Versäumnisse in früheren Jahren hin, was darauf hindeutet, dass weitere Maßnahmen erforderlich sind Verbesserung.
Es wurden IT-Kontrollen in mehreren Regierungsstellen Singapurs, einschließlich des Verteidigungsministeriums, festgestellt schwach, wo die Zugriffsrechte Dritter lax sind und die Protokollierungs- und Überprüfungsaktivitäten privilegierter Benutzer erfolgen unzureichend. Auch bei der Verwaltung der Benutzerzugriffsrechte kam es zu Lücken, da es sich bei einigen dieser privilegierten Benutzer um Mitarbeiter von IT-Anbietern handelt.
Diese Ergebnisse wurden im veröffentlicht Auditor-General Office (AGO) veröffentlichten aktuellen Jahresbericht, in dem weiter darauf hingewiesen wurde, dass ähnliche Probleme bereits bei verschiedenen Einrichtungen des öffentlichen Sektors festgestellt wurden
seine Prüfungen in den letzten Jahren. Dies deutete darauf hin, dass IT-Kontrollen weiterhin ein wichtiger Bereich für Verbesserungen seien, hieß es.Die Bewertung umfasste alle 16 Ministerien, neun gesetzliche Gremien, vier staatseigene Unternehmen, vier staatliche Fonds und drei weitere Konten und umfasste die Prüfung von Aufzeichnungen, Akten, Berichten und verschiedenen anderen Dokumenten durch das Büro sowie Besuche vor Ort und Interviews mit der Regierung Offiziere.
Siehe auch
Singapur fordert die Nation nachdrücklich auf, eine Security-by-Design-Denkweise einzuführen
Lies jetztDie AGO betonte die Bedeutung robuster IT-Kontrollen zur Verhinderung und Aufdeckung illegaler Aktivitäten und betonte, dass dies auch für den öffentlichen Sektor der Fall sei Nutzung von Technologie auf vielfältige Weise, beispielsweise durch Digitalisierung und Prozessautomatisierung, um seine Dienstleistungen für die Bürger zu verbessern Unternehmen.
„Da riesige Datenmengen verwaltet werden, darunter auch personenbezogene und vertrauliche Daten, ist jeder unbefugte Zugriff bzw „Diese Aktivität könnte erhebliche Auswirkungen auf die Integrität und Vertraulichkeit der Daten in den IT-Systemen haben“, heißt es sagte.
So hatte das Verteidigungsministerium mehreren Mitarbeitern des IT-Anbieters Zugriff auf sein Enterprise-Human-Resource-System gewährt und ihnen damit die Möglichkeit gegeben um Personal- und Gehaltsinformationen im System zu lesen, darunter 73 Datentypen, für die das Ministerium einen kontrollierten Zugriff verlangte Ort.
Laut AGO wurde den Mitarbeitern dieser IT-Anbieter kein Lesezugriff auf Bedarfsbasis gewährt. Beispielsweise hatte keiner der Mitarbeiter in den 2,8 Jahren der AGO zu irgendeinem Zeitpunkt auf 23 Datenkategorien zugegriffen führte seine Tests durch, während vier dieser Mitarbeiter seit ihrer Gewährung nie auf eine der 73 Informationsarten zugegriffen haben Rechte. Dies zeigte, dass der Zugriff nicht ausschließlich auf der Grundlage des Aufgabenbereichs und der Pflichten eines Mitarbeiters eines IT-Anbieters gewährt wurde, sagte das Büro.
Darüber hinaus wurde keine Überprüfung der Protokollaufzeichnungen der Datensätze durchgeführt, auf die die IT-Anbieter zugegriffen und die sie gelesen hatten. Tatsächlich hatte das Verteidigungsministerium seit 2014 keine Überprüfung dieser Protokollaufzeichnungen mehr durchgeführt, was bedeutete, dass jeder Zugriff zu unbefugten Zwecken unentdeckt blieb und nicht weiterverfolgt wurde.
Zu seiner Verteidigung erklärte das Ministerium, es sei davon ausgegangen, dass die Verwaltung der HR-Systeme komplex sein werde und dass für die Verwaltung einer Reihe von HR-Vorgängen dedizierte Ressourcen erforderlich seien. Daher setzte es die Mitarbeiter seines IT-Anbieters ein, um die Verwaltung des Systems zu unterstützen, was bedeutete, dass ihnen Lesezugriff auf alle Arten von Informationen gewährt wurde.
Nach Angaben der AGO erklärte das Verteidigungsministerium, es habe „strenge“ Kontrollen eingeführt, um die Risiken zu mindern, die sich aus der Gewährung eines solchen Zugangs ergeben. Dazu gehören Sicherheitsfreigaben für das Personal des IT-Anbieters, bestimmte Räume, die für ihre Arbeit videoüberwacht wurden, und regelmäßige Überprüfungen der Videoüberwachung Filmmaterial.
Das Ministerium räumte jedoch ein, dass es die Zuweisung von Rollen auf der Grundlage spezifischerer Aufgabenbereiche besser hätte verwalten können, sodass die Zugriffsrechte auf das erforderliche Maß beschränkt werden könnten. Es teilte der AGO mit, dass es den Mitarbeitern des IT-Anbieters seitdem den Zugriff auf die 23 Informationstypen entzogen habe und die Zugriffsrechte für die vier Mitarbeiter des IT-Anbieters, die nie auf einen der Datensätze zugegriffen hätten, entfernt worden seien.
Dem Bericht zufolge wurden ähnliche Versäumnisse auch im Finanzministerium festgestellt, wo Zugriffsrechte an privilegierte Benutzer für die Regierung vergeben wurden Das Buchhaltungs- und Finanzsystem NFS@Gov ermöglichte es ihnen, Konfigurationseinstellungen wie Kontrollen über den Genehmigungsprozess und andere Geschäfte zu ändern Regeln.
Darüber hinaus führte die Abteilung des Generalbuchhalters keine Überprüfung der Systemprüfungstabellen und -aktivitäten durch, wie z. B. die Aktualisierung der Genehmigungsgrenzen usw Die Einrichtung des Genehmigungsworkflows in NFS@Gov wurde nicht in den Systemprüfungstabellen erfasst, da die Abteilung die Systemprüfung nur teilweise aktiviert hatte Tische.
Auch im Arbeitsministerium wurden Versäumnisse festgestellt, insbesondere bei der Verwaltung seines IT-Sicherheitsüberwachungssystems. Es war nicht bekannt, dass fünf Server für zwei seiner IT-Systeme aufgrund veralteter Konfigurationen keine Protokolle an das IT-Sicherheitsüberwachungssystem senden konnten.
Das Ministerium hatte außerdem keine Änderungen überprüft, die am SIEM-System (Security Information and Event Management) seit dessen Einführung im Januar 2016 vorgenommen wurden. Darüber hinaus waren zwei seiner Mitarbeiter und einer vom IT-Anbieter für die Wartung des SIEM verantwortlich Das System verfügte über Zugriffsrechte, um Sicherheitswarnregeln zu ändern und Systeme aus der Überwachung durch SIEM zu entfernen System.
In seinen Anmerkungen zu dem Bericht wies Singapurs Rechnungsprüfer Goh Soon Poh auf ähnliche Versäumnisse bei der Beschaffung und Schwachstellen bei den IT-Kontrollen hin, die in früheren Jahren festgestellt wurden, und forderte zur Sorgfaltspflicht auf. Goh sagte: „Es ist wichtig, dass öffentliche Einrichtungen die Wiederholung ähnlicher Fehler vermeiden und wirksame Maßnahmen ergreifen, um die Governance und Kontrollen bei der Verwendung öffentlicher Mittel zu verbessern.“
VERWANDTE ABDECKUNG
Singapurs öffentlicher Sektor will neue Maßnahmen ergreifen, um die Datensicherheit zu erhöhen
Nach einer „Bestandsaufnahme“ der Sicherheitspraktiken des öffentlichen Sektors werden die Regierungsbehörden Singapurs auch „technische Maßnahmen“ für die bestehenden Sicherheitspraktiken einführen sowie neue Systeme zur Verbesserung der Datensicherheitsstandards, einschließlich der automatischen Erkennung von E-Mails mit vertraulichen Informationen und einer stärkeren Verschlüsselung Dateien.
Singapur muss härter gegen Unternehmen vorgehen, die Sicherheit als Mehrwertdienst betrachten
Von Unternehmen, die mit Kundendaten umgehen, sollte erwartet werden, dass sie dies mit allen geeigneten Cybersicherheitssystemen und -richtlinien tun. anstatt diese als „Mehrwertdienst“ anzubieten, und es ist an der Zeit, dass die Regierung von Singapur diejenigen zur Rechenschaft zieht, die dies nicht tun.
Die Regierung von Singapur deckt Lücken bei der Kontrolle von IT-Systemen auf
Bei der Verwaltung der IT-Systeme des Landes durch die Regierungsbehörden wurden zahlreiche Versäumnisse festgestellt, darunter nicht genehmigte administrative Änderungen und unbefugter Zugriff durch externe Anbieter.
Der öffentliche Sektor Singapurs meldet eine weitere Sicherheitslücke
Nach einer Flut von Datenschutzverletzungen bei Patienten im Gesundheitswesen in Singapur kam es zu einem weiteren Verstoß. Ein Server mit personenbezogenen Daten von 808.201 Blutspendern wurde von einem Drittanbieter nicht ordnungsgemäß gesichert, wodurch möglicherweise Daten wie Blutgruppe und nationale Identifikationsnummer offengelegt wurden.
Das Gesundheitsministerium von Singapur weist Vorschläge zur Vertuschung von HIV-Datenlecks zurück
Gesundheitsminister Gan Kim Yong sagte, die Regierung müsse nach der Entdeckung die Interessen der betroffenen Einzelpersonen und der Öffentlichkeit „abwägen“. Im Jahr 2016 wurde illegal auf die persönlichen Daten von Personen mit HIV-Diagnose zugegriffen und der Vorfall erst im Januar öffentlich bekannt gegeben 2019.