Auditorul: SEC trebuie să îmbunătățească securitatea cibernetică

Comisia SEC (Securities and Exchange Commission) a luat măsuri pentru a-și îmbunătăți securitatea informațiilor, dar încă nu a corectat mai multe vulnerabilități constatate în februarie 2008, potrivit unui raport al auditorului.

SEC, agenția care supraveghează SUA industria financiară a corectat 18 dintre cele 34 de puncte slabe ale securității informațiilor constatate de către Biroul de Responsabilitate al Guvernului SUA în februarie 2008, iar GAO a identificat 23 de noi deficiențe, a afirmat el într-un nou raport.

Noile deficiențe sunt în controalele menite să restricționeze accesul la date și sisteme și la alte controale "care continuă să pună în pericol confidențialitatea, integritatea și disponibilitatea informațiilor financiare și sensibile ale SEC", a declarat GAO în raportul său, publicat marți. pentru a elimina malware-ul de pe PC-ul dvs. Windows

Motivul principal al deficiențelor este că SEC nu și-a lansat complet programul de securitate a informațiilor, a umplut un post vacant pentru ofițerul de securitate senior și a testat pe deplin eficiența controalelor sale de securitate a informațiilor, a spus GAO. "Aceste deficiente reprezinta o deficienta semnificativa a controalelor interne asupra sistemelor informatice si a datelor utilizate pentru raportarea financiara", a spus raportul GAO.

SEC nu a intotdeauna aplica setari de parole puternice pe serverele de baze de date ale companiei, conturile pentru introducerea informațiilor despre sistem într-o aplicație cheie de date pentru întreprinderi SEC, a spus raportul GAO.

Parolele în text simplu ar fi putut fi disponibile utilizatorilor neautorizați, a adăugat raportul

În plus, SEC nu a criptat întotdeauna inclusiv comunicările între computerele client și serverele de baze de date cheie ale aplicațiilor financiare, se arată în raport. Utilizatorii care se autentifică la o aplicație de bază de date a unei întreprinderi au trimis, de asemenea, parole necriptate în întreaga rețea.

SEC nu a oferit întotdeauna audituri și monitorizări adecvate ale bazelor de date ale întreprinderilor și nu a menținut trasee complete de audit de către utilizatori și aplicații în baza de date aplicațiile care au fost relevante pentru securitate, a spus raportul GAO.

Până când aceste puncte slabe sunt fixe, informațiile financiare ale SEC vor rămâne cu risc crescut de divulgare, modificare sau distrugere neautorizată, iar deciziile sale de management se pot baza pe "Potrivit raportului, președintele SEC, Mary Schapiro, a declarat că agenția este, în general, de acord cu recomandările GAO.

Dar Schapiro a mai spus că SEC a făcut" progrese continue "în direcția îmbunătățirii informațiilor Securitate. "Pentru că în anii precedenți SEC a abordat multe dintre cele mai comune deficiențe ale securității informațiilor, auditorii și-au concentrat din ce în ce mai mult recenziile asupra unui set mai restrâns de controale relativ inferioare", a scris ea într-un răspuns inclus în raportul GAO. SEC va concentra atenția asupra autentificării și a cripțiunii, scrie Schapiro.