Eyaletin resmi denetim ofisi, Victoria devlet kurumlarının ağlarında hangi sunucuların bulunduğunu tam olarak bilmediğini ve bunun siber güvenlik için kritik bir temeli tehlikeye atabileceğini tespit etti.
Victoria Genel Denetçi Ofisi (VAGO) 10 devlet dairesini ve eyalet ICT sağlayıcısı Cenitex’i inceledi ve hiçbirinin sunucularının tam ve doğru bir envanterini sağlayamadığını tespit etti.
VAGO raporunda, hangi sunucuların mevcut olduğunu bilmeden kurumların kendilerini korumak için gereken teknik güvenlik kontrollerini güvenilir bir şekilde uygulayamayacağına, yönetemeyeceğine veya izleyemeyeceğine dikkat çekti.
Altı kurum, sunucuları tanımlamak için otomatikleştirilmiş varlık keşif araçlarını kullanıyor ancak hiçbiri bu araçları tüm ağlarını tarayacak şekilde yapılandırmamıştı.
Yalnızca üç kurum, manuel doğrulama ve fiziksel denetimler kullanarak tüm ortamlarındaki sunucu bilgilerinin mutabakatını sağladı.
Bu mutabakat süreçleri, kendi başına en iyi uygulama olarak kabul edilmez; endüstri standartları, otomatik keşfin üstün bir yaklaşım olduğuna işaret eder.
Ajanslar nihayet sunucu envanter verilerini sağladığında, kalite genel olarak zayıftı.
Tüm kurumlar eksik bilgi sundu; işletim sistemi sürümleri, ana bilgisayar adları veya sunucu konumları gibi kritik ayrıntılar eksikti.
Sekiz ajansın aynı sunucu için yinelenen kayıtları vardı; çoğaltma dört girişten 1000’in üzerine kadar değişiyordu.
Envanter sorunları, eskiyen altyapıyla ilgili daha ciddi bir sorunu maskeliyor.
Ajanslar tarafından bildirilen sunucuların dörtte biri desteklenmeyen işletim sistemleri çalıştırıyor; bu da artık otomatik güvenlik güncellemeleri, hata düzeltmeleri veya teknik destek alamayacakları anlamına geliyor.
Ayrıca yüzde 11’lik bir kesimin bilinmeyen işletim sistemleri vardı; adları ve sürüm numaraları ya eksik ya da eksikti.
Yalnızca dört kurum, işletim sistemlerinin kullanım ömrünün sonuna ulaşması da dahil olmak üzere, sunucu varlıklarının yaşam döngüsünü izlemeye yönelik araçlara sahiptir.
Yalnızca üç kurumun, desteğin sonuna yaklaşan işletim sistemlerini yönetmeye yönelik bir süreci var.
Genel denetçi, teknik güvenlik kontrollerini çoklu bulut ortamları için küresel olarak kabul edilen bir standart olan Microsoft Bulut Güvenliği Karşılaştırmasına göre değerlendirdi.
Her kurum, tutarsız bir şekilde uygulanan temel uyumluluk kontrollerinin olduğu yüksek riskli bir ortama eşdeğer olan, mümkün olan en düşük seviye 1 notunu aldı.
Değerlendirme beş temel unsuru kapsıyordu: işletim sistemi sürümleri, endüstri standardında güçlendirilmiş görüntüler, güvenlik temelleri, erişim kontrolü ve düzeltme eki uygulama, yedekleme ve izleme.
Avustralya Sinyal Müdürlüğü’nün Temel Sekiz (ASD E8) modeliyle tutarlı olan kümülatif puanlama yaklaşımı, herhangi bir öğedeki zayıflıkların genel derecelendirmeleri aşağı çekmesi anlamına geliyordu.
VAGO’nun ajanslara üç tavsiyesi
Genel denetçi, başarısızlıklara çözüm bulmak için üç önemli tavsiyede bulundu.
Bunlar arasında, tüm ortamda otomatikleştirilmiş varlık keşif araçları uygulayarak BT sunucularının izlenmesi, sunucu bilgilerinin düzenli olarak mutabakatı sağlanması ve temel özelliklerle birlikte eksiksiz sunucu envanterlerinin tutulması yer alıyordu.
Ajanslardan ayrıca, desteklenmeyen işletim sistemlerine sahip sunucuları yükselterek veya kullanımdan kaldırarak, endüstri standardında güçlendirilmiş görüntüler uygulayarak ve güvenlik temellerini tutarlı bir şekilde uygulayarak teknik güvenlik kontrollerini güçlendirmeleri istendi.
Devlet Hizmetleri Bakanlığı’ndan, minimum teknik güvenlik kontrolleri için gereklilikleri ve tüm eyalet devlet kurumlarındaki sunucu envanterlerini izlemeye yönelik beklentileri belirleyen bir kılavuz yayınlaması istendi.
VAGO’nun denetimi, Victoria’daki 10 hükümet kuruluşundan dokuzunun 2023’te gizli bilgileri sızdırabilecek, iletişim ağlarını ve kritik altyapıyı bozabilecek başarılı saldırılarla sonuçlanan bir siber olay yaşamasının ardından geldi.
Victoria devlet kurumları 2015 yılında VAGO tarafından kullanım ömrü sonundaki yazılım ve sistemleri kaldırmaları ve kötü yönetilen BT güvenliği ve erişim kontrollerini iyileştirmeleri konusunda uyarılmıştı.
Rapor, VAGO’nun siber güvenlikle ilgili yakın zamanda hazırladığı ikinci rapordur ve 2023’teki ilk denetimde kurumların bulut tabanlı kimlik yönetimi ve cihaz yönetimi kontrollerini geliştirebilecekleri ortaya çıkmıştır.