Nel 2018, solo il 47% delle entità ha soddisfatto il parametro di riferimento del Revisore Generale per quanto riguarda la gestione efficace della sicurezza delle informazioni.
Il revisore generale dell'Australia occidentale ha nuovamente invitato gli enti governativi ad aumentare la propria pratiche di sicurezza delle informazioni, con un nuovo rapporto che ne rileva, in alcuni casi, la totale assenza politiche di sicurezza informatica.
Nell'annuale Rapporto di audit dei sistemi informativi [PDF] Il revisore generale Caroline Spencer descrive in dettaglio i risultati dell'indagine del 2018 sugli enti governativi, in cerca di informazioni determinare se i controlli "supportano efficacemente la riservatezza, l'integrità e la disponibilità delle informazioni sistemi".
L’indagine, che copre infosec, continuità aziendale, gestione dei rischi IT, operazioni IT, controllo delle modifiche e sicurezza fisica, ha rilevato 547 problemi in 47 enti governativi statali. Con cinque entità che esternalizzano le proprie valutazioni delle capacità e tre che scompaiono a causa di cambiamenti nell’apparato governativo, il rapporto si rivolge a 39 entità.
Con una scala che va da zero a cinque, il revisore generale si aspetta che gli enti statali raggiungano almeno un tre, il che significa che hanno documentato e comunicato processi che sono obbligatori e che possiedono procedure standardizzate che non sono necessariamente sofisticate ma sono la formalizzazione dell'esistente pratiche.
Confrontando i risultati con quelli dello scorso anno, il rapporto mostra un calo nella percentuale di entità con rating pari o superiore a tre in quattro delle sei categorie. Solo quattro entità: il Dipartimento del Premier e del Gabinetto, Racing and Wagering Western Australia, Western L'Australian Land Information Authority e la Curtin University hanno superato tutte e sei le categorie in modo coerente per tre anni o più. L'indagine è al suo undicesimo anno.
Nel 2018, solo il 47% delle entità ha soddisfatto il parametro di riferimento del Revisore Generale per quanto riguarda la gestione efficace della sicurezza delle informazioni. Ciò rappresenta un calo del 3% rispetto al 2017.
"È chiaro dalle debolezze di sicurezza di base che abbiamo identificato che molte entità mancano di alcuni importanti controlli di sicurezza necessari per proteggere sistemi e informazioni", afferma il rapporto. "La tendenza degli ultimi 11 anni mostra scarsi miglioramenti nei controlli delle entità per gestire la sicurezza delle informazioni."
Oltre alle politiche di sicurezza informatica che non esistono, non sono aggiornate o non sono approvate, i punti deboli rilevati dall’indagine hanno fatto eco molti di quelli trovati in passato, comprese password facili da indovinare per reti, applicazioni e database, come l'uso di "Password" o "Password1".
Ad un certo punto, si è scoperto che le password erano archiviate in testo semplice sull'unità di rete condivisa e includevano le credenziali dell'account del database e del server per un "sistema critico".
Inoltre, il rapporto ha evidenziato la mancanza di processi per migliorare le competenze del personale in materia di sicurezza delle informazioni; nessun programma di sensibilizzazione sulla sicurezza informatica per il personale; si sono verificati casi di entità che non hanno esaminato applicazioni, database e account utente di rete con privilegi elevati; e la mancanza di processi per identificare e correggere le vulnerabilità della sicurezza all'interno dell'infrastruttura IT.
Condividendo un caso di studio di un ente governativo senza nome, il revisore generale ha affermato di aver riscontrato che la rete e l'IT dell'ente i sistemi erano vulnerabili a causa della mancanza di controlli anti-malware e di rilevamento/prevenzione delle intrusioni e della mancanza di sicurezza cerotti.
Anche l'entità non era stata patchata Vulnerabilità di WannaCry per oltre cinque mesi e non disponeva di un processo per applicare patch agli ambienti Linux con patch mancanti risalenti al 2013.
È stato riscontrato che molte entità non richiedono controlli aggiuntivi come l’autenticazione a più fattori per accedere ai sistemi critici nel cloud, compresi i libri paga e quelli contenenti informazioni finanziarie. Alcune entità non richiedevano l'autenticazione a più fattori per l'accesso remoto.
Per quanto riguarda la gestione dei rischi informatici, i punti deboli riscontrati dal revisore generale includevano: politiche di gestione del rischio in fase di progettazione o non sviluppate; processi inadeguati per identificare, valutare e trattare i rischi informatici e correlati; e registri dei rischi non mantenuti, per il monitoraggio continuo e la mitigazione dei rischi identificati.
"Le entità devono garantire che i rischi IT siano identificati, valutati e trattati entro tempi adeguati e che queste pratiche diventino una parte fondamentale delle attività aziendali e della supervisione esecutiva," Ha detto Spencer.
L’audit delle operazioni informatiche ha messo in luce debolezze quali: strategie informatiche non messe in atto; nessuna registrazione degli accessi e delle attività degli utenti; nessuna revisione dei registri di sicurezza per i sistemi critici; accesso ancora concesso al personale ex; una mancanza di politiche e procedure e una governance debole sulle operazioni IT; e persino l'impossibilità di accedere alle apparecchiature IT.
Le indagini sulla sicurezza fisica hanno inoltre rilevato che molte entità non monitoravano l'accesso del personale e degli appaltatori sale computer, né avevano visibilità sulla sala comunicazioni dove si trovavano backup e controlli della temperatura interessato.
Applicazioni sotto i riflettori
La prima metà del rapporto descrive in dettaglio i risultati dell'audit del revisore generale delle principali applicazioni aziendali presso quattro enti del settore pubblico. Le applicazioni sotto il microscopio erano: il sistema di gestione degli annunci di reclutamento (RAMS) della Commissione del settore pubblico, il sistema di misurazione avanzata di Horizon Power Infrastructure, Pensioner Rebate Scheme and Exchange dell'Office of State Revenue e New Land Register sotto la cura di Western Australian Land Information Autorità.
Dall’indagine è emerso che tutti e quattro presentavano punti deboli, i più comuni dei quali riguardavano la scarsa gestione dei contratti, le politiche, le procedure e la sicurezza delle informazioni.
È stato scoperto che RAMS conteneva componenti software che non sono più supportati dai fornitori di software, con un componente che presentava vulnerabilità di sicurezza note. Anche il disaster recovery non veniva testato dal 2015.
Il revisore generale ha chiesto a Horizon Power di spostare i processi manuali in una soluzione digitale, rivedere e implementare un'adeguata sicurezza della rete e dei database controlla, esamina e implementa pratiche appropriate di gestione dell'accesso degli utenti e migliora il processo di gestione delle vulnerabilità per includere terze parti applicazioni.
È stato riscontrato che le entrate statali dispongono di controlli e revisioni inadeguati sull'accesso degli utenti e l'indagine ha scoperto che un gran numero di utenti ha accesso a informazioni sensibili non protette.
Allo stesso modo, c'erano 10 account di database con password facili da indovinare e 70 account non avevano cambiato la propria password per oltre 12 mesi: per sette account era passato più di un anno.
Infine, il Nuovo registro fondiario presentava punti deboli, ad esempio i dati delle carte di credito a rischio di esposizione.
"Landgate viola la propria politica di utilizzo accettabile delle TIC che vieta che i dati della carta di credito vengano archiviati utilizzando metodi non sicuri, come la posta elettronica. Abbiamo trovato moduli di pagamento contenenti informazioni sulla carta di credito archiviate in backup a lungo termine senza un adeguato mascheramento dei dettagli," afferma il rapporto,
Di conseguenza, alla Western Australian Land Information Authority è stato chiesto di rivedere le proprie politiche, procedure e controlli di accesso per garantire che siano implementati efficacemente entro luglio 2019.
ALTRO DALL'AUSTRALIA OCCIDENTALE
- Il revisore generale dell'Australia occidentale mette in luce le lacune nel business case di GovNext
- WA sposta la posizione di CIO governativo al dipartimento del Premier
- Il grande piano di WA per liberare il governo dalla proprietà dell'IT
- WA investe 35 milioni di dollari australiani nel governo digitale
- Il Dipartimento delle Finanze di WA si trasferisce a Microsoft Azure