Audit vykonaný generálnym audítorom zo Západnej Austrálie zistil, že sedem vládnych agentúr nedokázalo dostatočne ochrániť citlivé údaje pred napadnutím alebo prístupom neoprávnených osôb.
Vládne agentúry západnej Austrálie nedostatočne chránia citlivé informácie pred útočníkmi aby sa zabránilo neoprávnenému prístupu a strate údajov, uviedol generálny audítor západnej Austrálie Colin Murphy.
Vo svojej najnovšej dvojdielnej správe o audite vlády Západnej Austrálie informačné systémy [PDF]Murphy sa pozrel na to, ako sedem vládnych agentúr -- Murdochova univerzita, právna pomoc, ministerstvo zdravotníctva, Curtinova univerzita, ministerstvo miestnych Vláda a komunity (DLGC), Úrad pre drogy a alkohol a Ministerstvo generálneho prokurátora -- riadili bezpečnosť svojich databázy.
Najnovšie austrálske správy
- Austrálska vláda oznamuje členov pracovnej skupiny 5G
- Neohľaduplnosť austrálskej vlády k lekárskym údajom je príznakom hlbších problémov
- Turnbull odhaľuje nových technologických ministrov pri výmene kabinetu
- ACCC spúšťa prieskum veľkoobchodných úrovní služieb NBN
- Opätovná identifikácia je možná s austrálskymi neidentifikovanými otvorenými údajmi Medicare a PBS
Povedal, že vo všetkých siedmich kľúčových oblastiach, ktoré sa skúmali, bolo identifikovaných 115 nedostatkov. Týchto sedem oblastí zahŕňalo útočnú plochu, zabezpečenie účtu, spevnenie systému, opravy, ochranu údajov, audit a monitorovanie a zadné vrátka a nesprávnu konfiguráciu.
Prvé štyri oblasti – útočný povrch, bezpečnosť účtu, spevnenie systému a verzia/záplata – predstavovali najväčšie riziko pre databázy a informácie, ktoré obsahujú, a napriek tomu audit zistil, že tieto štyri oblasti tvorili 64 percent z celkových zistení, pričom 47 percent bolo hodnotených ako extrémne resp. vysoká.
Murphy zdôraznil, že niekoľko agentúr nemá firewally oddeľujúce databázy a servery od ostatných siete alebo iných agentúrnych sietí, čím sa zvyšuje riziko ohrozenia služieb bežiacich na databáze alebo serveri sám.
Okrem toho žiadny z 13 systémov nešifroval citlivé údaje uložené v ich databázach alebo na zálohách uložených na páskach a mimo lokality, uvádza správa.
Murphy uviedol, že výsledky auditu boli znepokojujúce, najmä preto, že nedostatky boli v niektorých ľahko opraviteľných oblastiach, ako sú heslá, opravy a nastavenie používateľských privilégií. Audit zároveň zistil, že existujú kópie citlivých informácií naprieč systémami a zle nakonfigurované databázy.
Druhá časť správy sa zamerala na kľúčové aplikácie, na ktoré sa agentúry spoliehajú pri poskytovaní služieb širokej verejnosti, a na to, či sa v týchto aplikáciách vyskytli nejaké nedostatky alebo nedostatky. Štyri žiadosti agentúry, ktoré boli preskúmané na účely auditu, zahŕňali integrovaný systém riadenia súdov ministerstva generálneho prokurátora; Právny úrad Komisie pre právnu pomoc Západnej Austrálie; Systém správy kariet seniorov WA Ministerstva miestnej samosprávy a komunít; a informačný systém riadenia služieb úradu pre drogy a alkohol WA 2.
Murphy uviedol, že zatiaľ čo zistenia naznačujú, že všetky štyri aplikácie fungovali dobre, existovali určité nedostatky týkajúce sa overovania údajov, manuálneho spracovania a bezpečnosti informácií.
„Osobitné oblasti záujmu sa týkali prístupu k údajom a protokolovania, opráv a aktualizácií softvéru a všeobecných bezpečnostných postupov v prostrediach IT agentúr,“ povedal.
„Tieto nedostatky zvyšujú riziko pre dôvernosť, integritu a dostupnosť citlivých informácií, ktoré sú zverené agentúram.
„Všetky agentúry, ktoré kontrolujeme, chápu kritickosť ich IT systémov pre ich prevádzku; príliš veľa však podceňuje riziká, ktoré pre tieto systémy existujú.“