審計(jì)署發(fā)現(xiàn)包括國防部和財(cái)政部在內(nèi)的若干政府實(shí)體的信息技術(shù)控制存在缺陷，第三方訪問權(quán)限不嚴(yán)，特權(quán)用戶的登錄和審查活動(dòng)不足，并注意到往年類似的失誤，表明需要進(jìn)一步改進(jìn)。已經(jīng)發(fā)現(xiàn)包括國防部在內(nèi)的幾個(gè)新加坡政府實(shí)體的IT控制很薄弱，第三方訪問權(quán)限不嚴(yán)，特權(quán)用戶的日志記錄和審查活動(dòng)不足。用戶訪問權(quán)限的管理也存在缺失，其中一些特權(quán)用戶是IT供應(yīng)商的員工。

這些調(diào)查結(jié)果發(fā)布在審計(jì)署辦公室(AGO)的最新年度報(bào)告中，該報(bào)告進(jìn)一步指出，在過去幾年的審計(jì)中，各公共部門實(shí)體已經(jīng)發(fā)現(xiàn)了類似的問題。這表明IT控制仍然是一個(gè)需要改進(jìn)的主要領(lǐng)域。

評(píng)估涵蓋了所有16個(gè)政府部門，9個(gè)法定委員會(huì)，4個(gè)政府所有公司，4個(gè)政府基金和3個(gè)其他賬戶，并涉及辦公室對(duì)記錄，檔案，報(bào)告和各種其他文件的檢查以及實(shí)地考察和訪談。與政府官員。

新加坡政府強(qiáng)調(diào)需要從設(shè)計(jì)階段考慮網(wǎng)絡(luò)安全，并表示正在審查其預(yù)算，以確保留出足夠的資源來支持強(qiáng)大的防御系統(tǒng)。

AGO強(qiáng)調(diào)了強(qiáng)大的IT控制措施對(duì)于預(yù)防和發(fā)現(xiàn)非法活動(dòng)的重要性，并表示公共部門正在以多種方式利用技術(shù)，如數(shù)字化和流程自動(dòng)化，以改善其對(duì)公民和企業(yè)的服務(wù)。

“由于管理了大量數(shù)據(jù)，包括個(gè)人和機(jī)密數(shù)據(jù)，任何未經(jīng)授權(quán)的訪問或活動(dòng)都可能對(duì)IT系統(tǒng)中數(shù)據(jù)的完整性和機(jī)密性產(chǎn)生重大影響，”它說。

例如，國防部已授權(quán)IT供應(yīng)商的幾名員工訪問其企業(yè)人力資源系統(tǒng)，使他們能夠讀取系統(tǒng)上的人員和工資單信息，包括部門要求受控訪問的73種數(shù)據(jù)類型到位。

AGO指出，這些IT供應(yīng)商工作人員僅在需求的基礎(chǔ)上沒有讀取訪問權(quán)限。例如，在AGO進(jìn)行測(cè)試的2。8年內(nèi)，任何員工都沒有訪問過23個(gè)數(shù)據(jù)類別，而其中4個(gè)員工從未獲得73種信息類型中的任何一種，因?yàn)樗麄儽皇谟枇藱?quán)利。該辦公室表示，這表明并未嚴(yán)格根據(jù)IT供應(yīng)商員工的工作范圍和職責(zé)提供訪問權(quán)限。

此外，沒有對(duì)IT供應(yīng)商訪問和讀取的數(shù)據(jù)集的日志記錄進(jìn)行審查。事實(shí)上，自2014年以來，國防部沒有對(duì)此類日志記錄進(jìn)行審查，這意味著任何未經(jīng)授權(quán)的訪問都不會(huì)被檢測(cè)到，也沒有得到跟進(jìn)。

在其辯護(hù)中，該部表示，已經(jīng)預(yù)計(jì)人力資源系統(tǒng)管理復(fù)雜，需要專用資源來管理一系列人力資源業(yè)務(wù)。因此，它部署了其IT供應(yīng)商的員工以支持系統(tǒng)的管理，這意味著授予他們對(duì)所有信息類型的讀訪問權(quán)。

根據(jù)AGO的說法，國防部表示已采取“嚴(yán)格”控制措施，以減輕授予此類訪問權(quán)所帶來的風(fēng)險(xiǎn)，包括IT供應(yīng)商員工的安全許可，由CCTV監(jiān)控的指定房間供他們工作，并定期審查閉路電視錄像。

不過，該部承認(rèn)，它可以根據(jù)更具體的工作范圍更好地管理角色分配，因此訪問權(quán)限可以簡(jiǎn)化為只需要的內(nèi)容。它告訴AGO，它已經(jīng)刪除了IT供應(yīng)商員工對(duì)23種信息類型的訪問權(quán)限，并且從未訪問任何數(shù)據(jù)集的四家IT供應(yīng)商員工的訪問權(quán)限已被刪除。

根據(jù)該報(bào)告，在財(cái)政部也發(fā)現(xiàn)了類似的失誤，其中為政府會(huì)計(jì)和金融系統(tǒng)特權(quán)用戶分配的訪問權(quán)限NFS @ Gov允許他們更改配置設(shè)置，例如對(duì)審批流程的控制等。商業(yè)規(guī)則。

此外，會(huì)計(jì)部門沒有對(duì)系統(tǒng)審計(jì)表和活動(dòng)進(jìn)行任何審查，例如更新批準(zhǔn)限制和在NFS @ Gov中設(shè)置批準(zhǔn)工作流程沒有在系統(tǒng)審計(jì)表中捕獲，因?yàn)樵摬块T有僅部分打開了系統(tǒng)審計(jì)表。

人力部也發(fā)現(xiàn)了失誤，特別是其IT安全監(jiān)控系統(tǒng)的管理。它不知道由于過時(shí)的配置，其兩個(gè)IT系統(tǒng)的五臺(tái)服務(wù)器無法將日志發(fā)送到IT安全監(jiān)控系統(tǒng)。

自2016年1月部署以來，該部還沒有審查對(duì)SIEM(安全信息和事件管理)系統(tǒng)所做的更改。此外，其負(fù)責(zé)維護(hù)SIEM系統(tǒng)的兩名員工和一名IT供應(yīng)商擁有訪問權(quán)限。更改安全警報(bào)規(guī)則并從SIEM系統(tǒng)中刪除系統(tǒng)。

在他對(duì)該報(bào)告的評(píng)論中，新加坡審計(jì)長Goh Soon Poh指出了前幾年發(fā)現(xiàn)的采購中的類似失誤和IT控制的弱點(diǎn)，并敦促他們盡職盡責(zé)。吳作棟說：“公共部門實(shí)體必須避免重復(fù)類似的失誤，并采取有效措施，加強(qiáng)對(duì)公共資金使用的治理和控制。”