Audytor: US SEC musi poprawić cyberbezpieczeństwo

Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) podjęła kroki w celu poprawy bezpieczeństwa informacji, ale nadal nie wyeliminowała kilku luk w zabezpieczeniach znalezionych w lutym 2008 r., Zgodnie z raportem audytora.

SEC, agencja nadzorująca walczące USA branży finansowej, poprawił 18 z 34 słabości bezpieczeństwa informacji znalezionych przez Urząd odpowiedzialności rządu USA w lutym 2008 r., a GAO zidentyfikował 23 nowe słabe strony, powiedział w nowym raporcie.

Nowe słabości są w kontroli mających na celu ograniczenie dostęp do danych i systemów oraz do innych mechanizmów kontrolnych, "które nadal zagrażają poufności, integralności i dostępności informacji finansowych i wrażliwych SEC" - powiedział GAO w swoim raporcie, opublikowanym we wtorek.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Główną przyczyną słabości jest to, że SEC nie wdrożyła w pełni swojego programu bezpieczeństwa informacji, wypełniła wakat dla starszego urzędnika ds. bezpieczeństwa informacji i w pełni przetestowała skuteczność kontroli bezpieczeństwa informacji, powiedział GAO. "Te słabości oznaczają znaczny niedobór wewnętrznych mechanizmów kontrolnych nad systemami informatycznymi i danymi wykorzystywanymi do celów sprawozdawczości finansowej", czytamy w raporcie GAO.

SEC nie zawsze wymuszała silne ustawienia haseł na swoich korporacyjnych serwerach baz danych i wielu użytkowników współużytkowanych przez użytkowników konta do wprowadzenia informacji o systemie w kluczowej aplikacji danych przedsiębiorstwa SEC, podał raport GAO.

Hasła w postaci zwykłego tekstu mogły być dostępne dla nieautoryzowanych użytkowników, raport został dodany.

Ponadto SEC nie zawsze szyfruje dane wrażliwe informacje, w tym komunikację między komputerami klienckimi i serwerami baz danych kluczowych aplikacji finansowych, podał raport. Użytkownicy uwierzytelniający się w kluczowej korporacyjnej aplikacji bazodanowej również wysyłali niezaszyfrowane hasła w sieci.

SEC również nie zawsze zapewniał odpowiedni audyt i monitorowanie korporacyjnych baz danych i nie utrzymywał kompletnych śladów audytu aktywności użytkowników i aplikacji w bazie danych aplikacje, które były istotne dla bezpieczeństwa, donosi raport GAO.

Do czasu ustalenia tych słabości, dane finansowe SEC będą narażone na zwiększone ryzyko nieuprawnionego ujawnienia, modyfikacji lub zniszczenia, a decyzje dotyczące zarządzania mogą być oparte na niewiarygodnych lub niedokładne informacje ", napisano w raporcie GAO.

W odpowiedzi na raport, przewodnicząca SEC Mary Schapiro powiedziała, że ​​agencja zasadniczo zgadza się z zaleceniami GAO.

Ale Schapiro powiedział również, że SEC zrobiła" ciągły postęp "w kierunku poprawy informacji bezpieczeństwo. "Ponieważ w poprzednich latach SEC zajmowała się wieloma powszechniejszymi słabościami w zakresie bezpieczeństwa informacji, audytorzy coraz częściej koncentrowali swoje recenzje na węższym zestawie kontrolek o relatywnie niższym poziomie", napisała w odpowiedzi zawartej w raporcie GAO.

SEC będzie koncentrować się na uwierzytelnianiu i szyfrowaniu w przyszłości, napisał Schapiro.