Glavni revizor Zapadne Australije pozvao je vladine agencije da obrate pozornost na njegovo posljednje izvješće, budući da je razočaran što su nalazi zanemareni u prošlosti.
Više od polovice vladinih agencija Zapadne Australije ne ispunjavaju referentna očekivanja koja je postavio državnog Ureda glavnog revizora kada je riječ o upravljanju i dostupnosti povjerljivih podataka informacija.
Glavni revizor Colin Murphy rekao je da je nakon obavljanja Izvješće o reviziji informacijskih sustava već osmu godinu, razočaran je što vidi malo ili nimalo poboljšanja u kontrolama iz godine u godinu i što agencije ne tretiraju stvar s ozbiljnošću koju smatra da zaslužuje.
Najnovije australske vijesti
- Australska vlada najavljuje članove radne skupine za 5G
- Nesmotrenost australske vlade s medicinskim podacima simptom je dubljih problema
- Turnbull predstavlja nove ministre tehnike u rekonstrukciji kabineta
- ACCC pokreće NBN upit o veleprodajnim razinama usluge
- Ponovna identifikacija moguća s australskim deidentificiranim Medicare i PBS otvorenim podacima
"Informacijska sigurnost i kontinuitet poslovanja nisu se poboljšali, rezultati fluktuiraju iz godine u godinu, ali trend ostaje nepromijenjen", rekao je Murphy u izjavi. "S obzirom da se te kategorije odnose na sigurnost informacija i dostupnost usluga, vrlo sam zabrinut zbog nedostatka napretka."
U svom najnovijem izvješće [PDF]Glavni revizor otkrio je da je od 45 agencija revidiranih u šest ključnih poslovnih aplikacija, najčešća slabost bila kompromitacija osjetljivih informacija. Revizija je također otkrila slabosti u operativnim, proceduralnim i procesnim kontrolama koje bi potencijalno mogle utjecati na pružanje ključnih usluga javnosti.
"Mnoge slabosti koje stalno prijavljujem lako je popraviti, poput lošeg upravljanja lozinkama i osiguravanje da su procesi oporavka podataka uspostavljeni i ažurirani u slučaju incidenta," Murphy rekao je.
"Možda ću morati tražiti načine da učinim agencije odgovornijima za IT slabosti, a to može uključivati imenovanje agencija koje se ne bave ili ne poduzimaju radnje za ispravljanje zabrinutosti."
Ovogodišnja revizija bila je usmjerena na šest kontrolnih kategorija: upravljanje IT rizicima, informacijska sigurnost, kontinuitet poslovanja, kontrola promjena, fizička sigurnost i IT operacije.
U izvješću je utvrđeno da postoje mnoge interne slabosti agencije, kao što su nepostojanje politika informacijske sigurnosti, zastarjele ili neodobrene; da je zaporke mreže, aplikacije i baze podataka bilo lako pogoditi; da su se aplikacije i operativni sustavi koristili bez primijenjenih kritičnih zakrpa; da su visoko privilegirani generički računi podijeljeni s mnogim osobljem i izvođačima; da vatrozidi i sustavi za otkrivanje/sprečavanje upada nisu ispravno konfigurirani, ostavljajući izloženost; te da na mnogim aplikacijama i sustavima nije bilo softvera za zaštitu od virusa.
Kao rezultat toga, 454 problema s općom računalnom kontrolom prijavljeno je 45 revidiranih agencija u 2015., u usporedbi s 398 problema u 42 agencije u 2014.
Revizijom je utvrđeno da je samo 10 agencija ispunilo očekivanja odjela za učinkovito upravljanje svojim IT okruženjima, u usporedbi s 11 u 2014. godini.
"Više od polovice agencija ne ispunjava naša referentna očekivanja u tri ili više kategorija, a ukupni rezultat pokazao je pad od 3 posto u odnosu na prethodnu godinu", stoji u izvješću.
"Većina agencija učinkovito upravlja kontrolama promjena i fizičkom sigurnošću, ali upravljanje IT rizicima, informacijskom sigurnošću, kontinuitetom poslovanja i IT operacijama treba puno veći fokus."
Također su revidirane opće računalne kontrole uključujući kontrole nad IT okruženjem, rad računala, pristup programima i podacima, razvoj programa i promjene programa. Murphyjev odjel otkrio je da, iako aplikacije rade učinkovito, sve imaju slabosti, a najčešće su loše politike, procedure i sigurnost.
"Ove slabosti mogle bi utjecati na pružanje usluga i ugroziti sigurnost tisuća osjetljivih zapisa koji se čuvaju u aplikacijama", stoji u izvješću.
Prema riječima glavnog revizora, neke od slabosti uključivale su lozinke koje je lako pogoditi, ali ne i ažuriranja softvera primijenjeno, neuspjeh u uklanjanju računa koji pripadaju bivšem osoblju, kao i ručni unos podataka, obrada i manipulacija.
Murphy je rekao da ovo izvješće sadrži lekcije o upravljanju IT sustavima za sve agencije, ne samo za revidirane. Rekao je da bi, ako se predložene preporuke uzmu u obzir, trebalo doći do poboljšanja u reviziji sljedeće godine.
“Agencije se pozivaju da uzmu u obzir nalaze i postupe prema preporukama kako bi osigurale povjerljivost i integritet informacija. Mnoga pitanja navedena u izvješću jednostavna su i jeftina za ispravljanje, a agencije bi se trebale pozabaviti onima koje su identificirane što je prije moguće", rekao je.
U svibnju je Murphy izjavio da je bilo značajnih uštede koje bi se ostvarile ako bi se vladine usluge premjestile na internet.
u Pružanje usluga online revizijskog izvješća, Murphy je priznao da Zapadna Australija nije tako napredna kao neke druge australske jurisdikcije u pružanju zajedničkih usluga na internetu, ističući trenutne usluge poput podnošenja zahtjeva za rodni list ili zamjensku vozačku dozvolu ostaju temeljene na papiru, unatoč rastućoj potražnji kupaca i tehnologiji dostupno.
Među ostalim, Murphy je tada istaknuo da bi državna vlada mogla uštedjeti više od 2,2 milijarde AU$ tijekom 10 godina ako se polovica svih telefonskih i poštanskih transakcija preseli na internet.