‘Tidak ada pelacakan formal’ insiden keamanan TI di Keamanan Publik Kanada, temuan audit – Nasional


Tinjauan internal telah mengungkap praktik keamanan yang lemah dalam hal teknologi informasi di Public Safety Canada – dari kontrol yang lemah pada penggunaan flash drive portabel hingga kesadaran dan pelatihan yang tidak memadai.

Tinjauan tersebut menemukan karyawan yang tidak lagi berada di departemen “masih memiliki akses istimewa ke jaringan” dan bahwa beberapa karyawan saat ini memiliki akses administratif yang tidak perlu ke “aplikasi penting.”

Audit internal keamanan teknologi informasi yang kurang diperhatikan telah diselesaikan April lalu dan dipublikasikan pada Juli.

Baca lebih lajut:

Lonjakan keluhan pelecehan di tempat kerja di CRA, Canada Post: data internal

Ini menyerukan beberapa perbaikan untuk memastikan keamanan dan integritas informasi di Keselamatan Publik, departemen payung untuk RCMP, Badan Intelijen Keamanan Kanada, Layanan Pemasyarakatan dan Dewan Pembebasan Bersyarat Kanada.

Cerita berlanjut di bawah iklan

Laporan tersebut selesai tujuh bulan setelah penangkapan seorang direktur pusat intelijen RCMP menjadi berita utama internasional.

Cameron Jay Ortis didakwa berdasarkan Undang-Undang Keamanan Informasi karena diduga mengungkapkan rahasia kepada penerima yang tidak disebutkan namanya dan berencana memberikan informasi rahasia tambahan kepada entitas asing yang tidak disebutkan.

Audit Keamanan Publik menemukan bahwa tidak ada cara formal di dalam departemen federal untuk secara sistematis mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan teknologi informasi.








Coronavirus: Kanada ‘sudah menjangkau’ pemerintahan baru AS tentang pembatasan perjalanan, kata Blair


Coronavirus: Kanada ‘sudah menjangkau’ pemerintahan baru AS tentang pembatasan perjalanan, kata Blair – 22 Jan 2021

Pejabat tidak melakukan tinjauan berkala atau pemantauan hak akses jaringan yang sedang berlangsung, kata laporan itu.

Penghapusan akses bergantung pada “formulir keberangkatan” yang dikirimkan oleh karyawan setelah keluar dari Keselamatan Publik, tetapi peninjau diberi tahu bahwa formulir tersebut terkadang tidak diisi.

Cerita berlanjut di bawah iklan

Baca lebih lajut:

Menteri keamanan publik merinci upaya campur tangan luar negeri China dalam surat kepada anggota parlemen

Selain itu, tidak ada “pelacakan formal” insiden keamanan terkait teknologi di departemen.

Tim audit diberi tahu bahwa hanya empat dari lima insiden serupa yang telah dilaporkan atau diselidiki dalam dua tahun terakhir, tetapi “kami tidak dapat memastikannya karena tidak ada file atau laporan yang terdokumentasi.”

“Audit tidak dapat mengonfirmasi bahwa semua insiden keamanan TI dicatat dan ditindaklanjuti melalui saluran yang sesuai untuk memastikan bahwa tindakan korektif diambil tepat waktu.”

Ada kesadaran terbatas tentang persyaratan untuk menangani dokumen elektronik dan penggunaan alat untuk memastikan transmisi informasi yang aman oleh karyawan, kata laporan itu.

“Mengirimkan informasi atau dokumen PS sensitif ke alamat email pribadi tanpa perlindungan tambahan seperti enkripsi juga tidak dipantau.”

Kebijakan federal yang dirancang oleh Sekretariat Dewan Keuangan mengharuskan semua departemen menyimpan catatan perangkat penyimpanan data portabel, seperti kunci USB, yang dikeluarkan dalam organisasi mereka. Perangkat ini seharusnya dilindungi kata sandi dan informasi yang disimpan di dalamnya dienkripsi.

“Audit menemukan bahwa PS tidak menyimpan catatan kunci USB yang telah dikeluarkan dan bahwa ada kontrol terbatas untuk mengidentifikasi apakah individu menyimpan informasi sensitif pada kunci USB,” kata laporan itu.

Cerita berlanjut di bawah iklan

“Selain itu, PS tidak mengambil kunci USB selama pemeriksaan keamanan fisik untuk memeriksa konten mereka. Oleh karena itu, terdapat risiko bahwa kunci USB berisi informasi sensitif yang tidak dienkripsi yang dapat menyebabkan insiden keamanan. “

Departemen tersebut bermaksud untuk mengenkripsi semua data yang disimpan di desktop dan laptop dan menonaktifkan semua port USB secara default saat pemutakhiran perangkat lunak selesai di departemen, kata laporan itu.

Sapu yang dilakukan untuk mengukur keamanan tidak menilai kontrol kunci, seperti perangkat USB yang tidak dijaga dan tidak terlindungi atau komputer laptop yang dibiarkan masuk dan tidak dikunci oleh pengguna.

“Kesadaran dan pelatihan keamanan harus dilakukan secara sistematis dan komprehensif untuk memastikan bahwa individu diberi tahu tentang tanggung jawab keamanan TI mereka dan mempertahankan pengetahuan dan keterampilan yang diperlukan untuk menjalankan fungsi mereka secara efektif,” kata laporan itu.


Klik untuk memutar video'Coronavirus: menteri keamanan publik membahas pembatasan perbatasan Kanada, mengatakan 1,8% kasus di Kanada terkait perjalanan'







Coronavirus: Menteri keamanan publik membahas pembatasan perbatasan Kanada, mengatakan 1,8% kasus di Kanada terkait perjalanan


Coronavirus: Menteri keamanan publik membahas pembatasan perbatasan Kanada, mengatakan 1,8% kasus di Kanada terkait perjalanan – 22 Des 2020

Sementara beberapa perbaikan sedang dilakukan selama proses audit, beberapa perbaikan lainnya akan dilakukan selama dua tahun ke depan.

Cerita berlanjut di bawah iklan

Pelaksanaan rencana keamanan baru sedang berlangsung dan akan memastikan konsistensi dengan kebijakan Dewan Perbendaharaan, kata Zarah Malik, juru bicara Keselamatan Publik.

Chris Schulz dari perusahaan Etly Risk Management Solutions yang berbasis di Toronto memuji fokus audit, mengingat pentingnya memiliki langkah-langkah untuk mendeteksi kerentanan keamanan, termasuk yang disebut ancaman orang dalam.

Sekarang banyak orang, termasuk pegawai pemerintah, bekerja dari rumah, seseorang yang masuk ke jaringan komputer pada larut malam mungkin dianggap tidak biasa, kata Schulz.

Hal yang lebih penting untuk dipertimbangkan adalah apa yang sebenarnya dilakukan oleh karyawan tersebut, katanya.

“Jadi jika mereka datang terlambat dan mereka mengunduh file atau mereka juga mencetak file, atau mereka pergi ke tempat yang biasanya tidak mereka kunjungi” – kombinasi dari tanda-tanda seperti itu mungkin “melukiskan gambaran orang ini berpotensi menjadi ancaman. “

© 2021 The Canadian Press


Pengeluaran SGP

Back To Home