WA审计员在50个地方政府系统中发现了328个弱点

2021-05-13 05:14:28

周三西澳大利亚审计员将报告提交到50家地方政府实体的计算机系统,揭示了整个集团的控制弱点。

它是审计师普通卡罗琳斯宾塞'打算列出实体的意图,但鉴于她的发现性质,所有案例研究都包含在地方政府通用计算机控制[PDF]省略实体和系统名称。

"包括在案例研究中是现实生活的例子,即一般计算机控制如何导致系统违规,敏感和机密信息丧失和财务损失,"斯宾塞说。 "他们担任重要提醒,需要保持警惕的持续网络威胁。"

该报告说明审计师一般履行能力的11个实体都没有关于达到最低目标的能力成熟度评估。对于剩下的39,通用计算机控制审核。

审计探测信息安全,业务连续性,IT的管理风险,IT运营,变更控制和物理安全性。

328控制弱点,33个额定值和236分为中度。比如去年,近一半的问题都是关于信息安全。

同时,能力评估结果表明,11个审计实体均未达到六个控制类别的审计师,其中79%的审计结果低于最低基准。

"这些领域的控制差留下了系统和信息易受滥用的,可能会影响到公众提供的关键服务,"该报告添加了。

"五个实体也被列入去年,并在深入的评估中包含,并且可以通过及时解决上一年来提高其能力,而且整体而言,也没有明显地解决。 "

在调查结果中,具有较差的网络威胁的实体,具有一个案例研究,揭示了用户' S帐户细节被盗,因为没有检测到或防止安全控制。

"攻击导致用户欺诈性信用卡交易'公司信用卡,立即被取消,"报告说。 "通过实体进一步调查显示攻击者以敏感电子邮件的形式下载了10GB的实体信息。"

另一个常见的弱点是实体没有有能力管理技术漏洞的政策,程序和流程。在一个实体,公众面对和内部系统坐在同一网络中;同一实体也没有监视其网络上的设备。

发现一个实体没有改变自2002年以来的默认网络管理员账户的密码,即使是从左边知道密码的各种员工。

"我们发现了在办公时间不在办公时间使用的情况,实体无法解释此使用,"报告说。

探讨其风险的管理,发现的弱点包括没有拨料,评估,审查和报告风险的政策和程序;未记录重点风险,如果采用适当的控件来保护其信息,则意思是未知的实体。实体没有在合理的时间内审查他们的风险寄存器。

同时,IT运营也揭示了许多弱点,包括缺乏用户访问评论,无需记录用户访问和活动,缺乏事件管理程序,并且不需要IT人员刺激完成背景的某些敏感信息查看。

"在一个实体上,工作人员可以通过更改在共享服务器上托管的文件,&#34中托管的文件将理事会,侵权,许可证和申请费用重定向到另一个银行账户。报告详情。 "没有适当控制服务器的访问,因为人员使用共享通用帐户访问和管理服务器。"

物理安全性也被标记为弱,其中一个示例显示实体对其服务器室没有监视过程,这意味着任何人都可以访问它。

物理安全横幅下的进一步弱点包括无备份,也没有适当的环境控制来保护IT基础设施。