Revisor: US SEC trenger å forbedre Cybersecurity

The US Securities and Exchange Commission (SEC) har tatt skritt for å forbedre informasjonssikkerheten, men det har fortsatt ikke korrigert flere sikkerhetsproblemer funnet i februar 2008, ifølge en revisors rapport.

SEC, etaten som overvåker den sliter USA finansindustrien har korrigert 18 av 34 svakheter i informasjonssikkerheten som ble funnet av US Government Accountability Office i februar 2008, og GAO har identifisert 23 nye svakheter, sa det i en ny rapport.

De nye svakhetene er i kontroller ment å begrense tilgang til data og systemer, og i andre kontroller "som fortsetter å bringe konfidensialiteten, integriteten og tilgjengeligheten til SECs økonomiske og sensitive opplysninger i fare", sa GAO i sin rapport, utgitt tirsdag.

[Videre lesing: Hvordan å fjerne malware fra din Windows-PC]

Hovedårsaken til svakhetene er at SEC ikke har fullt ut utrullet sitt informasjonssikkerhetsprogram, fylt en ledig stilling for senior informasjonssikkerhetsoffisor og fullt ut testet effektiviteten av informasjonssikkerhetskontrollene, GAO sa. "Disse svakhetene representerer en betydelig mangel på interne kontroller over informasjonssystemene og dataene som brukes til finansiell rapportering," ga GAOs rapport.

SEC har ikke alltid håndhevet sterke passordinnstillinger på bedriftsdatabasetjenere, og flere personer delt bruker kontoer for å legge inn systeminformasjon på en nøkkel SEC-bedriftens dataprogram, sa GAO-rapporten.

Passord i vanlig tekst kan ha vært tilgjengelig for uautoriserte brukere, legger rapporten til.

I tillegg krypterte SEC ikke alltid krypteringen informasjon, inkludert kommunikasjon mellom klientdatamaskiner og en nøkkel finansiell applikasjon databasetjenere, sier rapporten. Brukerne autentiserer til en nøkkelbedriftsdatabaseapplikasjon sendte også ukrypterte passord på tvers av nettverket.

SEC har ikke alltid gitt tilstrekkelig revisjon og overvåking av bedriftsdatabaser, og den opprettholde ikke komplette revisjonslister av aktivitet av brukere og applikasjoner i databasen Programmer som var relevante for sikkerheten, sa GAO-rapporten.

Inntil disse svakhetene er løst, vil SECs "økonomiske opplysninger forbli økt risiko for uautorisert avsløring, modifikasjon eller ødeleggelse, og dets ledelsesbeslutninger kan være basert på upålitelige eller unøyaktig informasjon, sa GAO-rapporten.

Som svar på rapporten sa sekreteringsformannen Mary Schapiro at byrået generelt er enig med GAO-anbefalingene.

Men Schapiro sa også SEC har gjort "fortsatt fremgang" mot bedre informasjon sikkerhet. "Siden tidligere år hadde SEC tatt opp mange av de mer vanlige informasjonssikkerhetssvakhetene, har revisorene i økende grad fokusert sine vurderinger på et smalere sett med relativt lavere kontroller," skrev hun i et svar som inkluderes i GAO-rapporten.

SEC vil fokusere på autentisering og kryptering fremover, skrev Schapiro.