Queensland’deki 77 konseyin üçte ikisinin bilgi sistemlerinin güvenliği konusunda zayıflıkları var.
Bir inceleme [pdf] Sektörlerin sürdürülebilirlik, risk yönetimi ve kontrolleri incelendiğinde, konseylerin güvenlik sistemlerinde, önceki denetimlerde tespit edilen 47 çözülmemiş eksiklik ve 66 yeni tespit edilen eksiklik dahil olmak üzere 113 eksiklik tespit edildi.
Queensland Genel Denetçisinin Queensland yerel yönetim birimlerine ilişkin 2023 raporunda “Kırk beş (45) konseyin bilgi teknolojisi sistemlerinde en az bir eksiklik var” belirtildi.
“On dört (14) konseyin bilgi sistemlerinde bir yılı aşkın süredir çözülmeyen bir veya daha fazla önemli eksiklik var.”
Eksikliklerin büyük kısmı sistem kullanıcılarının ihtiyaç duyduğundan daha fazla erişime sahip olmasından kaynaklanıyordu.
Diğerleri “sistemlere erişim şifreleri konusunda güçlü kontrollere sahip değildi” (4); “sistemlerdeki değişiklikleri yönetmek için iyi süreçlere sahip olmamak” (10); “eksiksiz, güncel politika ve prosedürlere sahip olmamak” (10); “siber ve sistem güvenliği kontrollerinde boşluklar olması” (11) ve “diğer eksiklikler” (22).
Raporda ayrıca konseylerin dörtte birinin personeline siber güvenlik eğitimi vermediği ortaya çıktı.
Genel Denetçi, 2019-20’de “zorunlu siber güvenlik farkındalığı eğitimi vermelerini” tavsiye etti.
“Üç yıl önce önerdiğimiz gibi hâlâ çalışanlarına yönelik zorunlu siber güvenlik eğitimlerini geliştirip uygulamaya koymamış 17 konsey var. Bu konseylerin bilgi sistemlerinde 30 eksiklik var.”
Genel Denetçi, yakın gelecekte sektördeki güvenlik açıklarının daha derinlemesine analizini ve siber dayanıklılığı artırmaya yönelik tavsiyeleri içeren bir rapor yayınlayacağını söyledi.
Açıklamada, “Kuruluşların siber saldırılara yanıt verme ve bu saldırılardan kurtulma hazırlıklarına ilişkin içgörüler ve öğrenilen dersler üzerine bir performans denetimini tamamlıyoruz” ifadesine yer verildi.
“Konseyleri ve bakanlığı bu raporu masaya yatırıldığında incelemeye ve kendileriyle ilgili tavsiyeleri uygulamaya teşvik ediyoruz.”
Raporda, “önemli eksikliklerin uzun süre çözülmeden kalması, kişisel bilgilerin kaybı veya hizmetlerde aksamalar da dahil olmak üzere siber bağlantılı risklere daha fazla maruz kalınmasına” ve “konseyin itibarının zedelenmesine” yol açabileceği uyarısında bulunuldu.
Issac Bölge Konseyi geçen yılın Nisan ayında bir fidye yazılımı saldırısına uğradı. Diğer Queensland konseylerinde potansiyel olarak açıklanmayan siber olaylar yaşandı; Eyaletin Kasım ayında yasalaşan zorunlu veri ihlali bildirim planı, 2026 ortasına kadar yerel yönetimleri etkilemeyecek.
Genel Denetçi, “Siber güvenlik tehditlerinin sayısı ve karmaşıklığı arttıkça, konseylerin bilgi sistemlerindeki zayıflıkları derhal gidermesi gerekiyor” dedi.
“Konseylerin, tehditleri tespit etmek ve azaltmak, insan hatalarını önlemek ve gelişen siber risklere uyum sağlamak için personellerinin tetikte olmasını sağlamaları gerekiyor.”