地方审计局IT安全完全不足,国家审计署发现

新闻快讯

国家审计署指出,国家对提高地方系统安全性的财政支持并没有取得预期的效果。经审核的地方政府没有评估其数据库的安全要求。

甚至没有最低安全级别建立在所有本地系统

在某些情况下,地方政府甚至与最低水平的安全措施的应用相抗争。访问被授予得太快和容易,要安装的安全补丁留给个人用户处理,密码管理是不够的,而且大多没有关于谁可以访问什么的概述。

据审计长Janar Holm说,很多人一直在做生意,好像他们从来没有听说过爱沙尼亚公共信息系统的要求。

“与IT安全相关的风险仍然没有得到承认,尽管有许多地方政府计算机被拒绝服务攻击的目标,系统感染恶意软件和对网站造成的损害,”国家审计署在星期二的新闻稿中写道。东南方。

在所有级别和职位上,对IT安全的粗暴态度是显而易见的。对于IT基础设施的使用,通常没有指导方针,或者它们没有被引入员工。而在这样做的时候,人们往往不遵循指南。

审计师:数据保护对官员来说是重要的“Mars之行”

霍尔姆说:“最令人担忧的是,审计人员会见了官员,他们需要实施包括数据保护在内的安全措施体系,这一点与投资Mars度假的必要性一样明智。

他补充说:“在爱沙尼亚,已知的网络事件数量已经超过每年10000次,继续认为这不会发生在我们身上,或者说我们的数据并不重要,这是幼稚和危险的。”

总的来说,这种情况是黯淡的:地方议会对他们在国家X-Poad系统的外部服务器上存放的任何数据都不负任何责任,而且他们也不要求从他们工作的人那里得到任何种类的数据。

“这在一定程度上解释了为什么没有对地方政府收集的数据进行全面的概述,他们的安全还没有被分析,给予他们收集数据的权利的批准过程还没有通过,而其他数据库中的数据的可访问性不是缺点。“不,”审计办公室写道。

除此之外,这也意味着有个人数据必须提交一次以上,这违背了爱沙尼亚电子政务系统的单一进入原则。

缺乏资金、支票的现状

地方议会令人沮丧的部分原因是明显缺乏合格的员工。在大多数情况下,本地系统是一个缺乏适当培训的员工的责任。在地方政府更大的地方,通常雇用一到两名专家,但他们是系统管理员和技术人员,而不是数据安全专家。

由于雇佣一个专门负责数据安全的工作人员经常在财务上是没有意义的,国家审计署建议地方政府要么外包给私人服务提供商,要么相互合作来解决这个问题。

部分责任也归咎于国家。在实际应用中,并不是每一个数据库都被检查,正如数据保护检查人员所说的那样,这种勤奋将是“毫无意义的浪费时间”。相反,检查是零星地进行的,而数据库基础设施程序在软件包中被认可,因为所使用的软件通常是相同的ACR。不同的系统。

国家审计署:国家需要从提供资金转向实际监管

在大多数的案例中,地方数据库是建立起来的,因为不同的部委需要它,国家审计署建议部委可以在改善情况方面发挥作用。有关部委可以向地方政府提供关于将数据库(包括信息安全指南)纳入他们感兴趣的所有问题的指导方针。国家审计署发现,该部本身也可以开发用于执行该功能的软件,并采取控制器的作用,这样,国家可以确定数据的安全需求,命令遵从审计等,“审计署写道。

企业家和IT部长Urve Palo(SDE)同意国家审计署,应尽可能减少重复的程序,并且同样的规则应适用于爱沙尼亚电子政府解决方案中的类似系统。

审计署还报告说,它已向国家信息系统管理局(RIA)建议加强其检查和控制,因为在审计过程中,许多当地政府雇员指出,目前缺乏安全性要求并没有强制任何人作出努力。正确的方向。

RIA再次证实,它将尽其所能,改善地方当局“根据优先次序和可能性”的监管,并且已经计划在目前进行的行政改革完成后进行一轮检查。

然而,国家审计署认为需要进行范式转变。实际需要进行监督和检查,而不是简单地提供资金和信息。

“地方政府情况不好的原因是,目前参加培训的目标群体是IT专家,而不是机构管理人员。RIA在回应中表示,高级管理人员对参加此类培训的兴趣不大。审计署写道,国家审计署在其报告中强调,参加这样的培训实际上不是为机构负责人提供的。

对地方政府的最终建议包括任命一名特定的雇员“执行信息安全管理者的职责”,建立对所使用的标准软件的要求,并确保有可能将任何数据库与国家的X路系统WH交叉连接。需要消除多个数据条目的需要。

来源: news | ERR
图片来源: R

Leave a Reply