Аудитор: SEC США нуждается в улучшении кибербезопасности

Комиссия по ценным бумагам и биржам США (SEC) предприняла шаги по улучшению своей информационной безопасности, но по-прежнему не исправила несколько уязвимостей, обнаруженных в феврале 2008 года, согласно отчету аудитора.

SEC, агентство, которое контролирует борьбу США финансовая индустрия, исправила 18 из 34 недостатков в информационной безопасности, обнаруженных Управлением подотчетности правительства США в феврале 2008 года, и ГАО определило 23 новых недостатка, говорится в новом докладе.

Новые недостатки - это средства контроля, предназначенные для ограничения доступ к данным и системам, а также к другим элементам управления, которые продолжают угрожать конфиденциальности, целостности и доступности финансовой и конфиденциальной информации SEC », - говорится в опубликованном во вторник докладе GAO.

[далее] для удаления вредоносных программ с вашего ПК с ОС Windows]

Основной причиной слабых мест является то, что SEC не полностью развернула свою программу информационной безопасности, заполнила вакансию старшего сотрудника по информационной безопасности и полностью проверила эффективность своих средств защиты информации, сказал ГАО. «Эти недостатки представляют собой значительный недостаток в области внутреннего контроля над информационными системами и данными, используемыми для финансовой отчетности», - говорится в докладе ГАО.

SEC не всегда применяла надежные настройки пароля на своих серверах корпоративных баз данных, а несколько пользователей, учетные записи для ввода системной информации в ключевое приложение корпоративных данных SEC, говорится в сообщении GAO.

Пароли в текстовом виде могут быть доступны для неавторизованных пользователей, добавлен отчет.

Кроме того, SEC не всегда шифровал чувствительные говорится в отчете, включая связь между клиентскими компьютерами и серверами баз данных основных финансовых приложений. Пользователи, прошедшие аутентификацию в ключевое приложение корпоративной базы данных, также отправили незашифрованные пароли по сети.

SEC также не всегда обеспечивала адекватный аудит и мониторинг баз данных предприятия и не поддерживал в своей базе данных все контрольные маршруты деятельности пользователей и приложений приложения, имеющие отношение к безопасности, говорится в докладе GAO.

Пока эти недостатки не будут устранены, «финансовая информация SEC» будет по-прежнему подвержена повышенному риску несанкционированного раскрытия, модификации или уничтожения, а его управленческие решения могут основываться на ненадежных или неадекватная информация », - говорится в докладе GAO.

В ответ на отчет председатель SEC Мари Шапиро сказал, что агентство в целом соглашается с рекомендациями GAO.

Но Шапиро также сказал, что SEC сделала« постоянный прогресс »в направлении улучшения информации безопасность. «Поскольку в предыдущие годы SEC рассматривала многие из наиболее распространенных недостатков информационной безопасности, аудиторы все чаще фокусировали свои обзоры на более узком наборе относительно более низкого уровня контроля», - написала она в ответе, включенном в отчет GAO.

SEC будет сосредоточена на аутентификации и шифровании в будущем, пишет Шапиро.