Services Australia, hükümetin dijital kimlik sistemi için yürüttüğü bir kimlik alışverişinde bulunan ve ‘yüksek riskli’ olarak derecelendirilen biri de dahil olmak üzere güvenlikle ilgili birkaç güvenlik açığını “harekete geçirdiğini” söyledi.
Güvenlik açıkları, ajans tarafından yaptırılan periyodik güvenlik değerlendirmelerinde ortaya çıkarıldı, ancak yalnızca geçen hafta Avustralya Bilgi Komisyonu Ofisi (OAIC) tarafından ifşa edildi.
Güvenlik açıklarının tam doğası tartışılmamıştır, ancak bunlar genel olarak “BİT güvenliğiyle ilgili” olarak tanımlanır ve kimlik alışverişinin kişisel bilgileri nasıl ele aldığıyla ilgilidir.
Ayrıca, birinin mahremiyet açısından “yüksek risk” oluşturduğu – OAIC tanımlarına dayalı olarak “acil” dikkat gerektiren – olduğu düşünülmesine ve “birkaç” ın orta düzeyde risk oluşturduğu düşünülmesine rağmen, yayınlanan güvenlik açıklarının kesin sayısı da yoktur.
OAIC raporu, geçen yılın bu zamanındaki saha etkinliğine dayandığından, güvenlik açıklarının iyileştirme durumu hemen net değildi.
OAIC’nin güvenlik açıklarını öğrenmesi ile sorumlu açıklama ilkelerini takip etmek için bir rapor yayınlaması arasında bir yıllık bir boşluk olması muhtemeldir.
Sordu iTnews Bir Services Australia sözcüsü, güvenlik açıklarının giderilip giderilmediğini veya azaltılıp azaltılmadığını, “harekete geçirildiğini” ve borsanın güvenli bir şekilde kullanılabileceğini söyledi.
Sözcü, “Raporda atıfta bulunulan güvenlik değerlendirmelerinden orta ila yüksek risklerin tümü, OAIC’nin incelemesine 12 ay önce başlamasından bu yana harekete geçti” dedi. iTnews.
“Kimlik değişimi ve insanların kişisel bilgilerinin korunması da dahil olmak üzere tüm sistemlerimizin güvenliğini sağlamak en büyük önceliğimiz olmaya devam ediyor ve çağdaş koruma ve süreçler uyguluyoruz.
“Kimlik alışverişi güvenli olmaya devam ediyor ve insanlar dijital kimliklerini kullanarak devletin çevrimiçi hizmetlerinde güvenli bir şekilde oturum açmaya devam edebiliyor.”
“Tam olarak uygulanmadı”
OAIC, Şubat 2022’de araştırma yaptığında, ajans tarafından “tam olarak uygulanmamış” sızma testlerinden ve yıllık Infosec Kayıtlı Değerlendiriciler Programı (IRAP) değerlendirmelerinden öneriler buldu.
OAIC, özellikle bir IRAP değerlendirmesinin “Avustralya Hizmetleri’nin tanımlanmış tüm kritik ve yüksek riskli güvenlik açıkları için ayrıntılı bir uygulama planı ve programı geliştirmesini tavsiye ettiğini” kaydetti.
Gözlemci, Services Australia’ya “düzenli bilgi güvenliği değerlendirmelerinde belirlenen orta ve yüksek riskleri uygun şekilde yönetmek için adımlar atmasını” tavsiye etti.
Services Australia tavsiyeyi kabul etti ve raporda “önceki ICT değerlendirmelerinden gelen tavsiyeleri uygun şekilde uygulamaya devam etmek için çeşitli ICT ve siber güvenlik ekiplerindeki uzmanları dahil ederek koordineli bir yaklaşım benimsediğini” söyledi.
Ajans, merkezi siber güvenlik bölümünün, kilit iş sistemlerinin dahili ‘sahipleri’ tarafından güvenlik açığı iyileştirmesini izleme ve yönetme şeklini iyileştirmek için çalıştığını ekledi.
Services Australia’nın sözcüsü, bir soruyu yanıtlamadı. iTnews OAIC tarafından tespit edilen zafiyet izleme ve iyileştirmedeki bariz boşluklar ve bunların ele alınma durumu hakkında.
Sözcü, “düzenli güvenlik değerlendirmeleri, bir koruma paketinin parçası ve sistemlerimizi güvende tutmanın önemli bir parçası – bu devam eden bir süreç” dedi.
Sözcü, “Sonraki değerlendirmelerden ortaya çıkan riskler önceliklendiriliyor ve buna göre harekete geçiliyor” dedi.
Test edilmemiş veri ihlali müdahale planı
OAIC ayrıca, kimlik değişimi için veri ihlali müdahale planının hiç test edilmediğini ve olay müdahalesi için kiminle iletişime geçileceğine dair ayrıntıları içermediğini tespit etti.
Gizlilik gözlemcisi, “Veri ihlali müdahale planının kimlik değişimiyle ilgili olarak test edilememesi, orta düzeyde bir gizlilik riski oluşturur çünkü bu, Services Australia’nın plandaki riskleri ve boşlukları belirleme ve bir veri ihlaline hızlı bir şekilde yanıt verme yeteneğini azaltabilir.”
“Bu, müdahale ekibinin ve sorumluluklarının açıkça belirtilmemesinin, personelin Services Australia’nın veri ihlali müdahale planını bilmemesi veya takip etmemesi anlamına gelmesi riskini içerebilir.”
Buna yanıt olarak Services Australia, 2023’ün ilk çeyreğinde yanıt planının bir testini yapmayı taahhüt etti.
Diğer önemli bulgular
Gizlilik değerlendirmesi, düzeltildiğinden beri güncellenmemiş bir gizlilik politikası da dahil olmak üzere diğer bazı “orta” riskleri belirledi; gizlilikle ilgili iyileştirmeler için ölçülebilir amaç ve hedeflerin olmaması ve Services Australia ile dijital kimlik sistemi (DIS) işlevlerinin ayrılmasını ayrıntılandıran belgelerin eksikliği.
Gizlilik bekçisi, “Services Australia’nın DIS işlevlerinin ayrılmasının gerektiği gibi uygulanmaması ve kimlik değiş tokuşuyla ilgili herhangi bir gizlilik sorununun uygun ve tutarlı bir şekilde yönetilmemesi gibi orta düzeyde bir risk var” dedi.
“Örneğin, kimlik değişimi için toplanan kişisel bilgilerin ikincil bir amaç için kullanılması veya ifşa edilmesi riskini artırabilir.”
Ajans, son iki konuyu önümüzdeki ayın sonuna kadar ele alacağını söyledi.
santral
Dijital kimlik değişimi, hükümet tarafından yürütülen daha geniş dijital kimlik sisteminin (DIS) bir bileşenidir.
Değişim “bir santral gibi hareket eder, bilgi aktarır, [user] güvenen taraflar, kimlik sağlayıcılar ve öznitelik hizmeti sağlayıcıları arasındaki rıza, güvenli ve [user] Gizlilik”, DIS belgeleri için belgeler.
DIS, başlangıçta hem federal hem de eyalet veya bölge olmak üzere devlet hizmetlerinde kimlik doğrulamanın bir yolu olarak hareket etmeyi amaçlamaktadır.
Şimdiye kadar, kullanıcılar yalnızca hükümetin kendi myGovID’sini kullanarak devlet hizmetlerine erişmek için bir dijital kimlik oluşturabilirler, ancak gelecekte başka kimlik sağlayıcıların da ekleneceği öngörülmektedir.