南威尔士州服务NSW告诉迫切地改善网络攻击后的

审计进入服务NSW电子邮件危害攻击,从47名工作人员的账目下暴露了惊人的736GB数据,要求该机构采取“紧急行动”以解决其令人震惊的数据处理实践。

]南威尔州审核办公室在周五发布的小丑审查[PDF]发现新南威尔士州政府服务的一站式商店是“没有有效处理个人客户和商业信息,以确保其隐私”。

该报告是根据客户服务部长的要求进行的,在最初的袭击事件中,据称已经申请大约186,000名客户的个人信息。

如本周早些时候报道,服务NSW现在相信有他们通知的人​​数由未知的攻击者被盗的ation更接近106,000,尽管已经向审计员提供了支持这一点的数据。

报告称,技术分析发现原子能机构可能遭受两个单独的商业电子邮件危害攻击3月初和4月初之间的“相对较短的继承”。

“分析发现,有可能有两个单独的商业电子邮件妥协实例,其中一个外部威胁演员将网络钓鱼电子邮件发送了来自a的网络钓鱼电子邮件欺骗域(使用虚假域名使发件人出现合法)“。

哪个招揽T.HE用户的服务NSW凭据。

“作为后果,47名工作人员在没有授权的情况下访问了他们的电子邮件帐户。”

攻击LED服务NSW在中期攻击外部网络安全顾问4月4月“在提出担忧之后,员工的电子邮件帐户被用来向2725服务NSW用户发送电子邮件,包括指示网络钓鱼尝试的内容”。

虽然答复的全部成本尚不清楚,但审计署表示,该机构已“建议预计将超过3000万美元” - 上个月预算论文中包含的700万美元的价格超过3倍。

费用包括“邮资,法律和调查资源,以及外部顾问,供应商和员工费用“,但”不是我纳入任何可能需要支付给受影响的个人的补救或补偿费用“。

数据处理

审计尤为批将服务NSW的服务”通过服务电子邮件发送个人信息新南威尔士州的员工到客户机构“,它标志着原子能机构在违约前意识到的”关键贡献因素“。

原子能机构使用这种方法,客户机构”没有授权交易机构向南威尔士州服务没有商定或实施更安全形式的电子交易所“。

它与NSW公平交易和NSW的出生,死亡和交易婚姻登记处,尽管两个机构都在同一部门内部服务(DCS)集群。

播放时CE NSW要求通过要求人员手动删除包含个人信息的电子邮件,表示这最终“在防止违规方面无效”。

“尚不清楚为什么服务NSW没有有效减轻服务违约前的这种风险,“审计说。

”然而,南威尔士州的服务NSW已在6月和10月20日实施措施,以自动存档可能包含个人信息的电子邮件。

“这有望限制在延长期间在电子邮件账户中保留的信息量。

”服务NSW没有放置任何技术或其他解决方案以避免使用扫描和电子邮件发送个人信息的服务仓库工作人员一些客户机构。

“紧急行动是neEDED以删除员工将个人信息发送给客户机构的需求,从而减轻了使用电子邮件发送和存储此信息的风险。“

电子邮件上没有多因素认证

另一个审计中确定的主要贡献因素是缺乏多因素认证,使“外部威胁演员通过网络钓鱼运动获得用户账户详细信息,使得”外部威胁演员获得对员工邮件的访问权限“。

多 - 因素认证被强调为2018年服务NSW审计期间的风险,以南威尔士州的基本八个网络缓解策略的实施,发现原子能机构观察“八种策略中许多策略的低程度”。 “在许多控制中Knesses,审计发现,对于高风险区域,包括网络邮件,不启用多因素身份验证。审计说,管理层委员会将管理层将终结解决战略,以解决2019年6月30日的缺点。尽管如此,该机构在攻击时没有实施多因素认证,但是自从500万美元的网络安全隆起计划完成以来。 Salesforce CRM控制缺点“重大”IT和安全控制缺点也被确定为Service NSW的Salesforce客户关系管理(CRM )系统,包括围绕“基于角色的访问权限”和“程序特定事务信息的划分”。“这些缺陷创建了增加的RI审计说,未经授权访问拥有超过400万客户的个人信息的SK。 弱点在内部服务NSW审计中承认,包括最近截止日期为2020年8月的一项。[123 审计还指出,Salesforce系统现在正在超出其原始意图,其中包含超过400万MyServicensw账户持有人的细节,包括名称,电子邮件地址和电话号码。“它是”最初不适合该系统持有此卷和本质的客户信息,“审计说。还发现南威尔士州南威尔士州南威尔士州南威尔士州不得”经常对现有或遗留过程和系统进行隐私影响评估或审查“尽管对主要项目进行了掌握定期。审计还指出,该机构提供的交易数量的“显着和快速增长”已“加剧隐私风险”,具有“根据以前现有的参数设计的系统和流程...保留“。”这包括将包括健康,残疾或土着地位的敏感个人信息存储在原子能机构的CRM系统之类的系统中,这包括不再用于存储此类信息的系统, “它说。审计师一般建议DCS”实施解决服务NSW和客户机构之间的个人信息的安全方法“,并”审查存储扫描的个人信息副本“作为紧急问题。 工作G与DCS,在2021年3月,预计将审查其隐私管理计划和其他隐私政策和进程,而所有Salesforce CRM IT控制缺陷将需要在6月2021年进行讨论。 在一份声明中Dominello欢迎报告的发现并致力于实施所有建议,并指出一些数字已经完成,包括关于工作人员电子邮件账户的多因素身份验证。 “遗留系统 - 就像这种攻击中的遗产系统包含的复印纸附件 - 必须系统地删除并用安全的端到端数字系统替换,“他周五表示”我真诚地向受影响的人道歉。“劳动力服务发言人Sophie Cotsis标有审计员CANDING报告了......政府的弱点和失败,以确保其公民信息保持安全和安全“。”“根据数据的报告,400万NSW居民的个人信息仍然存在风险审计师将军发布的违约,“她在一份声明中说。在上周审计报告中突出了各机构的持续问题。暴露于数据泄露。“ ”服务NSW不碰巧没有幸福如果大道曾任审计员将军的重复警告,则为审计员,如果需要采取紧急行动,即在网络安全上采取紧急行动。“ 关键词2近网(www.ynmzfcw.com)。