Auditor: Kailangan ng US SEC upang Pagbutihin ang Cybersecurity

Ang US Securities and Exchange Commission (SEC) ay gumawa ng mga hakbang upang mapabuti ang seguridad ng impormasyon nito, ngunit hindi pa rin napagtuwid ang ilang mga kahinaan na natagpuan sa Pebrero 2008, ayon sa ulat ng isang auditor.

Ang SEC, ang ahensya na nangangasiwa sa struggling US ang pinansiyal na industriya, ay nagwasto ng 18 ng 34 mga kahinaan sa seguridad ng impormasyon na natagpuan ng Opisina ng Pananagutan ng Gobyerno ng Estados Unidos noong Pebrero 2008, at kinilala ng GAO ang 23 bagong mga kahinaan, sinabi nito sa isang bagong ulat.

Ang mga bagong kahinaan ay may kontrol na nilayon upang paghigpitan access sa data at mga sistema, at sa iba pang mga kontrol "na patuloy na nagpapinsala sa pagiging kompidensyal, integridad, at availability ng pinansiyal at sensitibong impormasyon ng SEC," sinabi ng GAO sa ulat nito, nitong Martes.

[Karagdagang pagbabasa: Paano upang alisin ang malware mula sa iyong Windows PC.

Ang pangunahing dahilan para sa mga kahinaan ay ang SEC ay hindi ganap na pinagsama ang programa ng seguridad ng impormasyon, napunan ang isang bakante para sa senior opisyal ng seguridad ng impormasyon at ganap na nasubukan ang pagiging epektibo ng mga kontrol ng seguridad ng impormasyon nito, sinabi ng GAO. "Ang mga kahinaan na ito ay kumakatawan sa isang makabuluhang kakulangan sa mga panloob na kontrol sa mga sistema ng impormasyon at data na ginagamit para sa pinansiyal na pag-uulat," sabi ng ulat ng GAO.

Ang SEC ay hindi laging nagpapatupad ng mga malakas na setting ng password sa mga enterprise database server nito, ang mga account na pumasok sa impormasyon ng system sa isang pangunahing application ng data ng SEC enterprise, sinabi ng ulat ng GAO.

Ang mga password sa simpleng teksto ay maaaring available sa mga hindi awtorisadong gumagamit, idinagdag ang ulat.

Bilang karagdagan, ang SEC ay hindi palaging naka-encrypt na sensitibo impormasyon, kabilang ang mga komunikasyon sa pagitan ng mga computer ng client at isang server ng database ng key financial application, sinabi ng ulat. Ang mga gumagamit na nagpapatunay sa isang pangunahing application ng database ng enterprise ay nagpadala din ng mga hindi naka-encrypt na mga password sa kabuuan ng network.

SEC ay hindi palaging nagbibigay ng sapat na pag-awdit at pagsubaybay ng mga database ng enterprise, at hindi nito pinanatili ang kumpletong mga trail ng pag-audit ng aktibidad ng mga gumagamit at mga application sa database

Hanggang sa maayos ang mga kahinaan na ito, ang "impormasyon sa pananalapi ng SEC ay mananatili sa mas mataas na panganib ng hindi awtorisadong pagsisiwalat, pagbabago, o pagkawasak, at ang mga desisyon sa pamamahala nito ay maaaring batay sa hindi maaasahan o

Bilang tugon sa ulat, ang SEC Chairwoman na si Mary Schapiro ay nagsabi na ang ahensiya sa pangkalahatan ay sumang-ayon sa mga rekomendasyon ng GAO.

Ngunit sinabi ni Schapiro na ang SEC ay "patuloy na pag-unlad" seguridad. "Dahil sa nakaraang mga taon ang SEC ay nakipag-usap sa marami sa mga mas karaniwang mga kahinaan sa seguridad ng impormasyon, ang mga auditor ay lalong nakatuon ang kanilang mga review sa isang mas mahigpit na hanay ng mga medyo mas mababang antas ng mga kontrol," sumulat siya sa isang sagot na kasama sa ulat ng GAO.

Ang SEC ay tumutuon sa pagpapatotoo at pag-encrypt ng pasulong, isinulat ni Schapiro.