Правительству ЗАКОНА было приказано отменить свою игру в защиту данных после того, как генеральный аудитор территории выразил серьезную озабоченность по поводу его политики и практики обработки данных государственными служащими.
Проверка практики обеспечения безопасности данных территории также показывает, что правительство не имеет общегосударственного плана реагирования на нарушение данных, несмотря на то, что оно было нарушено совсем недавно, в конце 2018 года.
В докладе, опубликованном в пятницу, весьма критически говорится о соблюдении государственным сектором ЗАКОНА обязательных требований в рамках правительственной политики безопасности ИКТ.
Эта политика, которая была обновлена в августе прошлого года, требует, чтобы директораты и агентства соблюдали ее на ежегодной основе, чтобы помочь управлению безопасностью данных всего правительства.
Но в настоящее время от них не требуется демонстрировать свое соответствие политике безопасности ИКТ, в отличие от отчетности в соответствии с рамками политики защиты безопасности ЗАКОНА.
Таким образом, ревизия установила, что соблюдение политики безопасности ИКТ неэффективно и что учреждения “недостаточно четко понимают свои риски и требования в области безопасности данных”.
“Не соблюдая требования политики безопасности ИКТ, государственная служба ACT не имеет достаточных возможностей для понимания того, за что отвечают агентства данных, рисков нарушения этих данных и контроля, который должен быть внедрен во всех государственных органах для управления этим риском”, — говорится в аудите.
В аудите, который был опубликован в тот же день, что и заявление премьер-министра о кибербезопасности, говорилось, что все, кроме одного агентства, эффективно документировали свои риски безопасности системы, и это было для одной системы.
В общей сложности 89 процентов критических ИТ-систем не имели текущего “плана управления рисками безопасности, который демонстрировал и документировал риски и средства контроля безопасности данных”.
Хотя большая часть вины в этой области была возложена на агентства, ревизия также критиковала правительственное подразделение общих служб, которое, несмотря на наличие эффективных инструментов и процессов, “испытывает значительное отставание в оценках безопасности”.
Он обнаружил, что Общие службы в среднем занимают более трех месяцев для начала критической оценки безопасности ИТ-систем и еще восемь месяцев для завершения плана управления рисками критической безопасности ИТ-систем.
Аудит также показал, что правительство не имеет “общегосударственного плана реагирования на нарушение данных для управления и координации ресурсов и заинтересованных сторон в случае серьезного нарушения данных”, хотя в настоящее время существуют планы по такому документу.
“После значительного нарушения данных онлайн-каталога Правительства ACT в ноябре 2018 года Группа старших должностных лиц по вопросам безопасности и чрезвычайным ситуациям рассмотрела роли и обязанности по обеспечению кибербезопасности в сети правительства ACT”, — говорится в аудите.
«Группа старших должностных лиц по управлению безопасностью и чрезвычайными ситуациями намерена завершить эти действия к июлю 2020 года.”
Аудит также показал, что отдельные агентства “не имеют достаточных возможностей для реагирования на нарушение данных или потерю доступности системы и должны вкладывать больше усилий в документирование и тестирование способов восстановления функциональности критически важных бизнес-систем”.
Этот риск потенциального нарушения данных также усугубляется тем, что, по мнению аудита, недостаточная осведомленность государственных служащих о безопасности данных проистекает из недостатка образования.
“Особой областью риска является отсутствие у пользователей знаний о том, как безопасно использовать данные”, — говорится в докладе.
“Недостаточная осведомленность была продемонстрирована в отсутствии понимания того, как безопасно обмениваться данными, а также признана, когда произошло нарушение данных и о нем необходимо сообщить.
“Это увеличивает вероятность нарушения данных и его потенциального воздействия.”
Хотя в ходе проверки было отмечено, что сотрудники Управления общественных услуг “демонстрируют хорошее понимание того, какие данные считаются конфиденциальной личной информацией”, это относится не ко всем учреждениям.
“Пользователи в других проверяемых агентствах не демонстрировали осознания рисков, связанных с конфиденциальной личной информацией, а также обмена этими данными по электронной почте или USB-накопителям, а также не знали о приемлемых механизмах обмена файлами, которые им доступны”, — говорится в аудите.
Аудит также показал, что несанкционированные облачные ИТ-сервисы продолжают использоваться государственными служащими, что, по его словам, “представляет риск для безопасности данных государственных органов”.
Это несмотря на то, что политика ИТ — безопасности требует, чтобы все ИТ-системы, включая облачные сервисы, регистрируются в общих сервисах, которые она не смогла успешно поддерживать.
“Как правило, эти облачные сервисы идентифицируются и загружаются сотрудниками государственных учреждений ACT”, — говорится в аудите, добавляя, что программное обеспечение в основном предназначено для “преобразования изображений и документов”.
“Использование этих услуг представляет собой риск раскрытия конфиденциальных данных поставщикам облачных услуг с неизвестными средствами защиты данных, а также риск лицензирования и соблюдения законодательства.”
Shared Services также работает с директоратами, чтобы сопоставить облачные сервисы и другие ИТ-системы по всему правительству и выявить любые теневые ИТ-технологии с момента получения финансирования в 2018 году.
В настоящее время она готовится активизировать эту работу, внедряя новые функциональные возможности для автоматического обнаружения ИТ-систем и активов в правительственной ИТ-сети.
“До тех пор, пока это не будет успешно реализовано и не принесет ожидаемых результатов, не будет коллективного и всеобъемлющего понимания систем ИКТ во всем правительстве ACT и, следовательно, ответственности за активы данных», — говорится в аудите.