ऑडिटर-जनरल के WA कार्यालय ने पाया है कि पश्चिमी ऑस्ट्रेलिया की एकीकृत COVID प्रणाली के उत्पादन में कोई एन्क्रिप्शन नहीं था या इसके लॉग की पर्याप्त निगरानी नहीं थी।
पर्थ शहर
पश्चिमी ऑस्ट्रेलिया के महालेखा परीक्षक ने एक बार फिर दिया है राज्य के अधिकारियों को झटका राज्य में उपयोग की जाने वाली आईटी प्रणालियों में सुरक्षा कमजोरियों के लिए, बुधवार को सार्वजनिक स्वास्थ्य कोविड यूनिफाइड सिस्टम (PHOCUS) पर एक रिपोर्ट पेश की गई।
PHOCUS का उपयोग WA में राज्य में सकारात्मक COVID मामलों को रिकॉर्ड करने और ट्रैक करने के लिए किया जाता है, और इसमें केस साक्षात्कार जैसी व्यक्तिगत जानकारी शामिल हो सकती है। फ़ोन कॉल, टेक्स्ट संदेश, ईमेल, कानूनी दस्तावेज़, पैथोलॉजी परिणाम, एक्सपोज़र इतिहास, लक्षण, मौजूदा चिकित्सा स्थितियां और दवा विवरण। क्लाउड सिस्टम चेक-इन पर सेफडब्ल्यूए ऐप से भी जानकारी प्राप्त कर सकता है - जिसे ऑडिटर-जनरल ने पहले पाया था WA पुलिस पहुँचने में सक्षम थी - साथ ही फ्लाइट मैनिफ़ेस्ट, ट्रांज़िट कार्ड, व्यावसायिक कर्मचारी और ग्राहक रिकॉर्ड, जी2जी सीमा-पार पास डेटा और सीसीटीवी फुटेज से भी।
रिपोर्ट में पाया गया कि WA हेल्थ ने अपने परीक्षण वातावरण में केवल एन्क्रिप्शन का उपयोग किया था, यह बताने में सक्षम नहीं था कि दुर्भावनापूर्ण गतिविधि हो रही थी या नहीं, और इसके विक्रेता के साथ अनुबंध प्रबंधन योजना का अभाव था।
"WA हेल्थ ने PHOCUS में जानकारी तक उपयोगकर्ता के 'व्यू' एक्सेस के लॉग नहीं रखे। सिस्टम में जानकारी में केवल 'संपादन' (परिवर्तन या विलोपन) लॉग किए गए थे, लेकिन डब्ल्यूए हेल्थ ने अनुचित गतिविधि के लिए इन लॉग्स की निगरानी नहीं की,'' रिपोर्ट में कहा गया है।
"डब्ल्यूए हेल्थ को पता नहीं चलेगा कि क्या व्यक्तिगत या चिकित्सा जानकारी अनुचित तरीके से एक्सेस की गई है (डब्ल्यूए हेल्थ स्टाफ या उनके तीसरे पक्ष के विक्रेताओं द्वारा देखी या संपादित की गई है)।
"हमारी ऑडिट पूछताछ के बाद, WA हेल्थ ने हमें सलाह दी कि उन्होंने अब संपादन पहुंच (डेटा) की निगरानी के लिए एक प्रक्रिया लागू की है परिवर्तन), लेकिन कथित सिस्टम प्रदर्शन के कारण लॉग व्यू एक्सेस (स्नूपिंग का पता लगाने के लिए) की प्रक्रिया लागू नहीं की गई थी समस्याएँ।"
विभाग ने ऑडिट के बाद व्यक्तिगत और चिकित्सा जानकारी को भी एन्क्रिप्ट किया, अपने परीक्षण वातावरण में सभी सूचनाओं के लिए डेटा मास्किंग बढ़ा दी ऑडिटर-जनरल द्वारा यह पाए जाने के बाद कि संभावित रूप से दुर्भावनापूर्ण फ़ाइलें अपलोड की जा सकती हैं, एक फ़ाइल अपलोड अस्वीकृत सूची लागू की गई और एक मैलवेयर स्कैनर ऑनलाइन लाया गया प्रणाली।
"व्यक्तिगत और चिकित्सा के अनधिकृत साझाकरण को रोकने के लिए कोई डेटा हानि रोकथाम नियंत्रण नहीं थे PHOCUS और WA हेल्थ में दी गई जानकारी ने बाहरी और अप्रामाणिक के साथ साझा किए गए दस्तावेज़ों की निगरानी नहीं की दलों। रिपोर्ट में कहा गया है कि खराब नियंत्रण के परिणामस्वरूप संवेदनशील जानकारी का अनधिकृत खुलासा हो सकता है और डब्ल्यूए हेल्थ की प्रतिष्ठा को नुकसान हो सकता है।
इसके अलावा, रिपोर्ट में कहा गया है कि WA हेल्थ के तीसरे पक्ष के विक्रेता के पास जानकारी तक पूरी पहुंच थी उत्पादन वातावरण, जिसके बारे में डब्ल्यूए हेल्थ ने कहा कि सिस्टम के निर्माण की आवश्यकता के अनुसार इसका मूल्यांकन और संतुलन किया गया था जल्दी से; पिछले विक्रेता से दो व्यवस्थापक खाते छोड़े गए थे; और विक्रेता अनुबंधों में "महत्वपूर्ण सुरक्षा आवश्यकताओं" का अभाव था।
ऑडिट के जवाब में, WA हेल्थ ने कहा कि वह चार अन्य COVID-संबंधित प्रणालियों को भी लागू कर रहा है समय के साथ, मुद्दों को उचित रूप से प्रबंधित किया गया और विकास की गति, गुणवत्ता और संसाधन मांगों को संतुलित किया गया।
"सिस्टम के संबंध में गोपनीयता का कोई उल्लंघन नहीं हुआ है, निरंतर डेटा सफाई और गुणवत्ता जांच की जाती है, नहीं प्रबंधन को प्रभावित करने वाले मामले में त्रुटियां पाई गईं और सिस्टम का कोई अनुचित उपयोग दर्ज नहीं किया गया,'' विभाग कहा।
"यह PHOCUS की मजबूती को दर्शाता है और डेटा अच्छी तरह से प्रबंधित और सुरक्षित है।"
WA सरकार ने साइबर सुरक्षा सेवाओं का विस्तार करने के लिए AU$25.5m आवंटित किया
डिजिटल सरकार कार्यालय की साइबर सुरक्षा इकाई फंडिंग के तहत अतिरिक्त कर्मियों की भर्ती करेगी।
ऑडिटर ने पाया कि WA पुलिस ने SafeWA डेटा को 3 बार एक्सेस किया और ऐप लॉन्च के समय त्रुटिपूर्ण था
WA हेल्थ ने छह अनुरोधों के साथ, COVID-19 संपर्क ट्रेसिंग के अलावा अन्य उद्देश्यों के लिए SafeWA चेक-इन जानकारी जारी की सरकार के इस संदेश के बावजूद कि जानकारी का उपयोग केवल संपर्क का समर्थन करने के लिए किया जाएगा, पुलिस द्वारा ऐसा किया जा रहा है अनुरेखण
WA ऑडिटर-जनरल ने भयानक साइबर जोखिम प्रबंधन पर स्थानीय सरकारों की खिंचाई की
पश्चिमी ऑस्ट्रेलिया के महालेखा परीक्षक की ओर से विशेष उपचार के लिए पुराने सॉफ़्टवेयर का उपयोग किया गया, जिसमें एक इकाई 15 साल की भेद्यता के प्रति संवेदनशील थी।
पश्चिमी ऑस्ट्रेलिया ने पहले रोडमैप जारी में डिजिटल टू-डू सूची निर्धारित की
यह कठिन सीमावर्ती राज्य अपनी संपूर्ण सरकारी डिजिटल रणनीति को प्राप्त करने के करीब एक कदम आगे बढ़ाने के लिए 12 सरकारी एजेंसियों में 22 परियोजनाएं चला रहा है।
WA महालेखा परीक्षक द्वारा 50 स्थानीय सरकारी प्रणालियों में 328 कमज़ोरियाँ पाई गईं
50 पश्चिमी ऑस्ट्रेलियाई स्थानीय सरकारी संस्थाओं के कंप्यूटर सिस्टम की जांच की गई और परिणाम में 328 नियंत्रण कमजोरियां पाई गईं, जिनमें से 33 को महालेखा परीक्षक ने महत्वपूर्ण माना।