Аудитор Западной Австралии была настолько обеспокоена уязвимостями в системе государственного реестра в прошлом году, что она предприняла необычный шаг, отложив публикацию результатов, чтобы можно было решить эти проблемы.
Кэролайн Спенсер сделала это открытие в ходе одноразового аудита [pdf] в четверг, спустя целых 18 месяцев после представления обзора информационных систем 2019 года, который в противном случае подробно описал бы уязвимости.
Система регистрации, которая находится в ведении Министерства юстиции штата, используется для “управления информацией обо всех рождениях, усыновлениях, смертях, браках и смене фамилии для WA”.
“Результаты проверки были настолько тревожными, что в высшей степени необычным шагом… Я решила не включать результаты проверки этого приложения в отчет парламенту за май 2019 года”, — сказала она.
“Я считал, что публикация важных результатов в то время, когда уязвимости системы все еще существовали, не будет отвечать общественным интересам.”
Аудит показал, что система “подвергается риску несанкционированного доступа, изменения и раскрытия информации из-за неадекватного контроля базы данных, уязвимостей системы безопасности и недостаточного мониторинга изменений”.
Уязвимости безопасности включали “неподдерживаемые сторонние приложения, неправильные конфигурации и отсутствующие исправления безопасности.
“Эти уязвимости присутствовали в веб-сервисах, базах данных и службах аудиторских отчетов в средах разработки, тестирования и производства”, — говорится в аудиторском отчете.
Аудит также обнаружил отсутствие регистрации или аудита, отсутствие шифрования данных для защиты конфиденциальной информации, слабые пароли для учетной записи системного администратора и плохое планирование аварийного восстановления.
С тех пор правосудие предприняло “значительную работу” по повышению информационной безопасности, хотя “требуется еще больше работы” для защиты конфиденциальности и целостности конфиденциальных данных, содержащихся в системе.
Спенсер сказал, что решение исключить выводы из отчета за 2018 год было принято по соображениям общественного интереса, поскольку система содержит идентификационные записи, которые являются “основополагающими для гражданского общества”.
“Знание слабых мест в этой системе будет представлять большой интерес для тех, кто со злым умыслом ищет финансовую или иную выгоду от изменения или доступа к основополагающим документам личности граждан ВА”, — сказала она.
“Риск выше из-за других слабых мест в более широкой ИТ-среде Министерства юстиции, также выявленных этим Управлением в ходе предыдущих проверок на протяжении многих лет.
“Они включают в себя слабые средства управления сетевой безопасностью, доступом и уязвимостями, которые предназначены для защиты конфиденциальности и целостности конфиденциальных и привилегированных данных.”
Спенсер сказал, что в течение последних 18 месяцев генеральный директор департамента регулярно представлял обновленную информацию о ходе работы, которую ревизионная служба независимо проверяла.
“Было важно рассмотреть эти аспекты до публичной отчетности, иначе это могло бы подвергнуть критическую систему и набор данных преднамеренному ущербу”, — добавила она.
Ревизионная служба вынесла шесть рекомендаций, которые должны быть выполнены к декабрю 2021 года, в том числе о продолжении усиления контроля за системами хранения конфиденциальной информации.